Les établissements de santé ont une mission de service public. Mais au-delà de la mission de santé publique, ils endossent, de fait, aussi une mission de protection de leurs patients et en particulier de protection des données sensibles qu¹ils collectent sur ceux-ci : les données de santé à caractère personnel.
Parce que l’hôpital est toujours plus numérisé, parce qu’il fait appel à toujours plus de prestataires externes, les risques existent : risque de perte des données, de fuite de données, de corruption de ces données. C’est toute la confiance dans le secteur de la santé qui est en jeu. L’ASIP Santé, agence créée en 2009 notamment pour accompagner l’émergence de
technologies numériques dans le secteur de la santé tout en veillant au respect des droits des patients, a défini le référentiel d¹agrément des hébergeurs de données de santé à caractère personnel (HDS).
Ce référentiel organise le dépôt et la conservation des données de santé dans des conditions de nature à garantir leur pérennité et leur confidentialité, de les mettre à la disposition des personnes autorisées selon des modalités définies par contrat, et de les restituer en fin de contrat. Cet hébergement ne peut avoir lieu qu’avec le consentement exprès
de la personne concernée.
Il est donc essentiel pour les candidats à l¹agrément de l’ASIP Santé délivré pour une durée de 3 ans renouvelable de clarifier ses exigences et d’identifier les solutions de cyber-sécurité des données aptes à contribuer à leur conformité réglementaire. Les hébergeurs doivent donc se conformer à de nombreuses exigences et mettre en œuvre une série d¹actions pour pouvoir obtenir leur agrément afin d’héberger des données de santé à caractère personnel. Bien sur, si un établissement héberge lui-même ses dossiers hospitaliers, il n’a pas besoin d¹obtenir un agrément.
En revanche, si l’établissement met son système d’hébergement au service d¹autres établissements de santé, il est soumis à la procédure d¹agrément. Il en est de même pour les
établissements de coopération sanitaire (groupements de coopération sanitaire GCS -, communautés hospitalières …) qui mettent à disposition de leurs membres leur système d’hébergement : ils sont soumis à cette procédure d’agrément.
Attention aux aspects liés à la sécurité
Dans ce contexte, il est nécessaire de bien penser à gérer le contrôle des accès et la traçabilité des utilisateurs à privilèges. Nous pouvons prendre par exemples, la gestion des mots de passe, le contrôle et de traçabilité des accès des prestataires externes, des administrateurs internes à l¹entreprise et des super-utilisateurs. Cela permet également d’enregistrer les sessions d¹administration et de les visionner ultérieurement en cas de besoin (audit, incident…). Enfin, les responsables de la sécurité du système d’information et hébergeurs peuvent gérer facilement le turn-over de leurs équipes, sans craindre de laisser l’accès aux données hébergées.
Parce qu’elle permet de mettre en place une véritable politique de sécurité répondant aux exigences technologiques et légales, l’approche « Privileged Access Management » est donc également à intégrer dans les projets d’hébergement des données de santé à caractère personnel.
Il ressort donc de l¹ensemble de ces éléments qu¹héberger des données de santé à caractère personnel nécessite de mettre en place des dispositifs industriels associant technologies, approche métier et contraintes légales.
Une tribune de Xavier Lefaucheux, vice-président des ventes Europe du Sud de Wallix.