Selon le Parlement européen, toute “information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne” constitue une donnée de santé à caractère personnel. Lorsqu’elles sont utilisées par les professionnels de santé pour soigner des patients, ces données sont évidemment critiques. Par conséquent, elles doivent être protégées en permanence contre les principaux risques liés à leur numérisation : accidents, catastrophes naturelles, malveillance interne, cyberattaques, erreurs humaines, etc.
Pourtant, le processus de traitement des risques nécessite parfois de privilégier une facette de la sécurité plutôt qu’une autre. Ainsi, le fait de chiffrer les données avec des mécanismes cryptographiques pour assurer leur confidentialité se fait au détriment de la disponibilité de ces données : s’il doit restaurer des données applicatives à partir d’une sauvegarde, l’administrateur système ne pourra pas le faire s’il ne possède pas la clé de déchiffrement.
Du point de vue du législateur, intégrité et confidentialité
Le point de vue du législateur sur la sécurité des données de santé est précisé au chapitre premier du Code de la santé publique, en particulier à l’article L1111-8. Cet article précise que les traitements de données de santé à caractère personnel doivent être réalisés dans le respect des dispositions de la loi dite “informatique et libertés” du 6 janvier 1978. Autrement dit, les données de santé à caractère personnel sont des données à caractère personnel “à risque” au sens de la loi informatique et libertés, et doivent être protégées en conséquence. La loi informatique et libertés précise à l’article 34 que le responsable du traitement (autrement dit, l’hébergeur des données de santé et des applications qui les manipulent) “est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès”. En d’autres termes, l’hébergeur de données de santé doit protéger l’intégrité et la confidentialité de ces données. Ce point de vue est renforcé par le décret n°2006-6 du 4 janvier 2006 (dit “décret hébergeur”), qui fixe le cadre relatif à l’agrément des hébergeurs de données de santé par le Ministère de la Santé, et par le décret n° 2007-960 du 15 mai 2007 (dit “décret confidentialité”). La lecture de ces décrets montre que la disponibilité des données – ou des applications qui les utilisent – n’est pas la priorité du législateur. La suite dans un prochain billet : les points de vue du patient et du médecin sur les critères de sécurité à privilégier lors de l’hébergement de données de santé.
SIGMA au salon Tech for Retail les 28 et 29 novembre 2023Retrouvez nos experts et solutions Retail au Tech for Retail Le Groupe SIGMA participera en tant […]Lire la suite- SIGMA aux Salons Solutions les 3 et 4 octobre 2023Venez découvrir nos offres et nouveautés aux Salons Solutions Vous êtes DSI, DAF, Responsable Logistique ou Directeur des […]Lire la suite
- SIGMA au salon Energies Expo les 12 et 13 octobre 2023Retrouvez nos experts au salon Energies Expo Le Groupe SIGMA participera en tant qu’exposant au prochain […]Lire la suite
