Depuis quelques années, le domaine de la santé, comme les autres secteurs d’activités, a connu une transformation digitale importante. En effet chaque organisation doit veiller à la sécurité de ces données lors de leur manipulation. Toutefois pour le cas de la santé, les données sont encore plus sensibles et confidentielles. C’est pourquoi afin d’héberger des données personnelles de santé, la certification HDS (Hébergeur de données de santé) doit être impérativement délivrée.

Certification HDS, securite donnees de sante

L’enjeu de la manipulation des données de santé

En premier lieu nous allons définir ce qu’est une donnée de santé afin de mieux comprendre l’intérêt et l’importance de celle-ci. La CNIL (Commission Nationale de l’Informatique et Libertés) présente une définition inspirée de celle du RGPD (Règlement Général de Protection des Données), entré en vigueur le 25 mai 2018.

« Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

Parmi ces informations, on retrouve :

  • Celles concernant la personne physique : par rapport à ses coordonnées, son image ou tout élément permettant d’identifier la personne concernée.
  • Les résultats après des tests ou examens d’une partie du corps
  • Les renseignements sur une maladie (physique ou mentale, handicap, traitement clinique…) quelle qu’elle soit d’une personne physique

Lorsqu’un professionnel de santé reçoit un patient, il a le devoir d’opérer le secret professionnel. Ainsi lors de la récolte ou lors du transfert d’informations d’un patient à un autre professionnel de santé, l’échange doit se faire de façon sécurisée afin que ces données ne soient pas perdues ou volées pendant l’acheminement.

Le RGPD et la santé

Tous les pays européens et tout organisme exerçant dans ou avec ces pays ont l’obligation d’appliquer le Règlement Général de Protection des Données (RGPD). Il stipule que les professionnels de santé doivent mettre en place des pratiques assurant la sécurité des données de santé.

Il faut par exemple, garantir l’identité de la personne lors d’un accès à une information confidentielle avec l’utilisation de la carte professionnel de santé. L’authentification doit se faire avec un mot de passe personnel et en double authentification pour plus de sécurité. Il est important de privilégier le chiffrement de données en cas d’utilisation du réseau internet.

En tant qu’organisme de santé, vous devez être en mesure de prouver à tout moment votre conformité au RGPD. Dans certains cas, si vous considérez que votre établissement de santé traite des données à grande échelle, un DPO doit être désigné. Le Data Protection Officer assurera la protection des données, informera et conseillera le personnel.

La transparence, vis-à-vis de vos patients, des informations récoltées est primordiale pour qu’ils vous fassent confiance à l’avenir. Ces règles en matière de cybersécurité sont présentes pour garantir au maximum la confidentialité de vos patients.

La certification HDS et ses avantages

La crise sanitaire a accentué les cyber-attaques envers les établissements de santé, ces derniers sont devenus les proies idéales des hackers. En 2020, les hôpitaux représentent à eux seuls 11% des attaques informatiques en France. Avec le surmenage dû à la pandémie, la cybersécurité n’est pas la priorité. Cependant une attaque peut causer énormément de dommages pour un hôpital et ses patients, car toutes les informations indispensables à leur santé sont digitalisées.

Depuis le 1er avril 2018, la certification Hébergeur de Données de Santé (HDS) vous permet de traiter des données à caractère personnel de santé. Ainsi vous respectez les réglementations grâce à cette certification. De plus, vous obtenez une certaine crédibilité quant à votre capacité de sécurisation des données.

Afin qu’un hébergeur de santé puisse être reconnu, il faut mettre en place :

  • La plateforme d’hébergement d’application du Système d’information
  • L’exploitation du système contenant les données de santé
  • L’infrastructure virtuelle du système d’information
  • L’infrastructure matérielle du système d’information
  • La mise en place de la sauvegarde des données de santé

L’hébergeur de données de santé avec la certification HDS assure la cybersécurité de façon optimale, d’un établissement de santé.

Le cas du Health Data Hub

Certaines failles sont encore visibles au niveau de la souveraineté dans le domaine de la santé. Il vaut mieux choisir un hébergeur de santé européen, car des barrières au RGPD peuvent vite être mise en place. Le Health Data Hub est une plateforme française, mise en place par le Gouvernement. Elle réunit l’ensemble des données de santé SNDS (Système National des Données de Santé) en utilisant l’Intelligence Artificielle pour la Recherche.

L’hébergeur de données choisi est Microsoft, ce qui pose un problème au RGPD. En effet, cette entreprise est américaine et doit appliquer le Cloud Act. Le Cloud Act est une loi américaine qui donne la possibilité aux autorités d’accéder aux données confidentielles des organisations américaines lors d’une procédure pénale. C’est-à-dire qu’une entreprise comme Microsoft implantée en France et qui doit respecter le RGPD, doit également respecter le Cloud Act.

Donc si les autorités américaines demandent les données du Health Data Hub lors d »une investigation, ils devront les dévoiler. Cela n’est plus en adéquation avec les engagements de confidentialités des organismes de santé. Le Health Data Hub vont sûrement privilégier un hébergeur de santé français à l’avenir.

Dropcloud santé, certifié HDS

Dropcloud santé propose des solutions de travail en ligne avec un but de sécurité informatique pour les établissements de santé. Ainsi, les professionnels peuvent bénéficier de l’envoi de fichiers volumineux avec WeSend. Mais également du partage de fichiers en ligne avec WeDrop et de la sauvegarde en ligne sécurisée avec Neobe.

Cette entreprise est certifié ISO 27001 HDS (Hébergeur de Données de Santé). Elle est par ailleurs basée exclusivement en France. Elle est totalement conforme aux exigences en matière de RGPD.

About the Author: Olivier CARRE