Partager :

Selon le Parlement européen, toute « information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne » constitue une donnée de santé à caractère personnel. Lorsqu’elles sont utilisées par les professionnels de santé pour soigner des patients, ces données sont évidemment critiques. Par conséquent, elles doivent être protégées en permanence contre les principaux risques liés à leur numérisation : accidents, catastrophes naturelles, malveillance interne, cyberattaques, erreurs humaines, etc.

 

Pourtant, le processus de traitement des risques nécessite parfois de privilégier une facette de la sécurité plutôt qu’une autre. Ainsi, le fait de chiffrer les données avec des mécanismes cryptographiques pour assurer leur confidentialité se fait au détriment de la disponibilité de ces données : s’il doit restaurer des données applicatives à partir d’une sauvegarde, l’administrateur système ne pourra pas le faire s’il ne possède pas la clé de déchiffrement.

 

Du point de vue du législateur, intégrité et confidentialité

Le point de vue du législateur sur la sécurité des données de santé est précisé au chapitre premier du Code de la santé publique, en particulier à l’article L1111-8. Cet article précise que les traitements de données de santé à caractère personnel doivent être réalisés dans le respect des dispositions de la loi dite « informatique et libertés » du 6 janvier 1978.

 

Autrement dit, les données de santé à caractère personnel sont des données à caractère personnel « à risque » au sens de la loi informatique et libertés, et doivent être protégées en conséquence.

La loi informatique et libertés précise à l’article 34 que le responsable du traitement (autrement dit, l’hébergeur des données de santé et des applications qui les manipulent) « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». En d’autres termes, l’hébergeur de données de santé doit protéger l’intégrité et la confidentialité de ces données.

 

Ce point de vue est renforcé par le décret n°2006-6 du 4 janvier 2006 (dit « décret hébergeur »), qui fixe le cadre relatif à l’agrément des hébergeurs de données de santé par le Ministère de la Santé, et par le décret n° 2007-960 du 15 mai 2007 (dit « décret confidentialité »). La lecture de ces décrets montre que la disponibilité des données – ou des applications qui les utilisent – n’est pas la priorité du législateur.

La suite dans un prochain billet : les points de vue du patient et du médecin sur les critères de sécurité à privilégier lors de l’hébergement de données de santé.

Suivez-nous sur nos réseaux !