Covid-19 : Comment assurer la sécurité des transferts de données de santé ?

Transfert de données de santé liés au Covid-19
Le transfert des données de santé sont sensibles, le traitement exige des précautions particulières. Or, la pandémie de Covid-19 a rendu leur gestion singulièrement délicate. Croissance du volume de données, réglementation contraignante, partage massif via le cloud, multiplication des cyberattaques… Tels sont les défis que doivent relever les professionnels de santé en marge de leur lutte contre la pandémie !

La sécurité du transfert des données de santé

  En effet, le Code de la santé publique dispose que « toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant » (art. L.1110-4). Les professionnels de santé ont l’obligation de tout mettre en œuvre pour assurer ce secret. Ils doivent aussi empêcher l’effacement, la modification ou la divulgation de ces données. Si les mesures de sécurité physiques et informatiques d’accès aux serveurs sont indispensables, elles ne peuvent néanmoins suffire avec le développement du partage via le cloud. Par ailleurs, nombre d’établissements de santé choisissent d’externaliser le traitement ou le stockage des données de leurs patients. Cependant, ils restent responsables de la sécurité de ces données et doivent s’assurer que le sous-traitant respecte les normes légales de confidentialité. En cas d’externalisation de l’hébergement, le professionnel de santé doit s’assurer que l’hébergeur choisi a reçu l’agrément du ministère chargé de la santé (articles L.1111-8 et R.1111-9 du Code de la santé publique). L’hébergeur doit notamment assurer la confidentialité, la sécurité, l’intégrité et la disponibilité des données. C’est cette capacité que garantit la certification HDS (Hébergeur de données de santé). En vertu de la loi de modernisation du système de santé du 26 janvier 2016. « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. » La certification délivrée par l’Agence du numérique en santé repose sur une double certification ISO27001/HDS.

Tests, vaccins et traitement massif de données ; une numérisation indispensable mais délicate

  Mais cette législation est-elle toujours bien appliquée ? En juin dernier, l’entreprise de cybersécurité Vectra a publié un rapport préoccupant sur la sécurité des données de santé. La pandémie de Covid-19 a en effet contraint les acteurs de la santé à pratiquer un traitement massif de données de santé. Ils ont disposé de délais très courts pour s’adapter à ces nouvelles pratiques. Dès lors, ces professionnels ont mis en place des solutions de partage, parfois à la hâte et sans les garanties exigées. De plus, l’usage massif du télétravail s’est avéré délicat dans ce domaine. Certains employés ont travaillé via des accès à distance non sécurisés. Parfois même avec leur propre matériel informatique. Cette situation a considérablement fragilisé la sécurité du transfert de données de santé. Et ainsi, a favorisé une hausse massive des actes malveillants. Ceux-ci auraient augmenté de 38 % par rapport à la période avant Covid. Mais dans quel but, pirater des données de santé ? Tout simplement pour réclamer une rançon. Comme l’hôpital de Villefranche-sur-Saône en a fait très récemment l’amère expérience. Les pirates sont conscients que l’urgence liée à la situation joue en leur faveur. Outre la pression sur le milieu hospitalier, la crise du coronavirus a mis sous tension les laboratoires d’analyse et les structures dédiées à la vaccination. Tester et vacciner sont en effet deux actions qui impliquent des traitements massifs de données. Or, l’urgence de la crise n’autorise pas à sacrifier la confidentialité de ces dernières. Ainsi, le suivi de la campagne de vaccination a impliqué la mise en place d’un système de traitement de données spécifique, sous l’œil attentif de la CNIL. Ce « SI Vaccin Covid » traite des données personnelles et des données de santé des personnes vaccinées et de celles invitées à l’être. Elles peuvent être accessibles au personnel chargé de la vaccination, au médecin traitant et à certains organismes publics. Côté tests, antigéniques ou PCR, les centres de dépistage doivent également prendre en charge la gestion de ces données sensibles.

La solution WeSend, transferts sécurisés

  Outre le défi médical et de santé publique, la crise du coronavirus fait donc peser de lourdes responsabilités sur les épaules de professionnels de santé. Ils ont tout intérêt à déléguer le stockage de leurs données à un hébergeur qualifié. Cela leur garantira le secret et la confidentialité de leurs données de santé. C’est ce que propose DropCloud Santé et WeSend santé, services dédiés aux professionnels de santé. Ces services permettent l’envoi et le stockage de fichiers volumineux en toute sécurité.   DropCloud est une entreprise certifiée ISO27001/HDS depuis 2019. Elle offre aux professionnels de santé une sécurité optimale pour leurs données sensibles. Chez DropCloud, les fichiers et bases de données de santé sont stockés sur des serveurs sécurisés situés exclusivement en France. Les données sont cryptées sur toute la durée du processus de transfert, et la connexion aux services de DropCloud, NeoBe Santé, WeDrop Santé, WeSend Santé, se fait grâce à un système d’authentification forte. En se connectant, l’utilisateur reçoit en effet un SMS ou un mail de vérification. Face à la crise de la Covid-19, les professionnels de santé peuvent en toute sécurité déléguer le stockage et la protection de leurs données sensibles à DropCloud. Ainsi, ils se consacrent à la santé des Français.
Olivier CARRE
Olivier CARRE
Directeur Marketing et Commercial – DropCloud