Les consultant en santé numérique de NUMEDIKAL vous aident à créer des logiciels médicaux sûrs et protecteurs des données des patients

La protection des données médicales : réglementations et recommandations

À l’heure où la transformation numérique est au cœur de l’amélioration du système de santé, la protection des données médicales constitue un enjeu majeur aussi bien pour les établissements de santé, les éditeurs de logiciel et les patients. 

Les CHU victimes d’une cyberattaque ne sont malheureusement plus un cas isolé et le risque deviendrait même la nouvelle crainte des hôpitaux. En janvier 2023, l’hôpital privé Jean Mermoz à Lyon et l’hôpital privé de l’Est lyonnais à Saint-Priest (Groupe Ramsay Santé) en ont d’ailleurs été la cible, les obligeant à réduire leur activité.

La protection des données étant à la fois un sujet d’actualité et soumis à de constantes évolutions, vous trouverez dans cet article un état des lieux des réglementations, des mesures spécifiques adoptées en France ainsi que 5 recommandations pour mettre en œuvre une meilleure gestion des risques liée à la cybersécurité. 

Alors, comment traiter la protection des données des patients dans vos logiciels de santé ?

L’évolution des réglementations sur la protection des données médicales : HIPAA, RGPD, PGSSI-S

Mind Mapping gestion de projet

Illustration Découvrir et utiliser la PGSSI-S — Copyright © L’Agence du Numérique en Santé

Au fil des années, les réglementations relatives à la protection des données médicales ont considérablement évolué pour répondre aux enjeux imposés par la transition numérique.

Voici les 3 réglementations principales à retenir : 

L’HIPAA

En 1996, la loi sur la portabilité et la responsabilité en matière d’assurance santé, l’HIPAA (Health Insurance Portability and Accountability Act), est adoptée aux États-Unis pour protéger les données de santé confidentielles. Elle intègre une série de normes réglementaires qui encadrent l’utilisation des données des patients. 

Réglementation historique sur le sujet, l’HIPAA amène une vraie prise de conscience sur la protection des données médicales et demande aux éditeurs de logiciels de santé de contrôler les risques liés au vol de données. À cette époque, l’industrie du médical est habituée à la gestion des risques, mais uniquement liés à la santé du patient. Les acteurs doivent alors opérer la même méthode d’analyse et de contrôle, mais ciblée sur les données confidentielles des patients.

L’HIPAA a également ouvert la voie de l’interopérabilité des données médicales, sujet dont nous parlons dans cet article !

Le RGPD

En 2018, l’Union européenne a adopté le Règlement Général sur la Protection des Données (RGPD), qui vise à renforcer la cybersécurité dans toute l’UE. Plus globale, le RGPD s’étend à toutes données personnelles, mais impacte significativement le secteur médical. 

Depuis, il est nécessaire d’obtenir le consentement explicite des patients avant d’utiliser leurs informations médicales. De plus, le RGPD exige des éditeurs de logiciel de santé qu’ils prennent des mesures de sécurité appropriées, telles que le chiffrement et la sauvegarde régulière des données. En cas de violation, ils peuvent être tenus pour responsables et faire face à des sanctions financières importantes. 

En somme, le RGPD a créé un cadre réglementaire plus strict pour la protection des données médicales et une nouvelle prise de conscience auprès des acteurs de la santé.

La PGSSI-S

La France, pays particulièrement moteur en matière de cybersécurité, émet ses propres recommandations et exigences. Elle adopte par exemple des mesures spécifiques dans la protection des données bancaires à travers la PGSSI (Politique Générale de la Sécurité des Systèmes d’Information). Ce plan définit les références et les moyens nécessaires à la protection des informations sensibles, telles que les données financières et personnelles des clients.

En 2018, elle prend le même chemin pour renforcer la protection des données médicales et met en place la PGSSI-S, visant à améliorer la sécurité des systèmes d’information de santé pour protéger les données des patients en France. Elle concerne aussi bien les établissements et professionnels de santé que les industries et éditeurs de logiciels. De manière générale, elle s’applique dès que des données de santé à caractère personnel sont manipulées.

La PGSSI-S est régulièrement mise à jour pour s’adapter aux évolutions industrielles, technologiques et réglementaires. Connaître les dernières applications est donc essentiel !

Le dynamisme de la France sur la protection des données médicales

Trello outil suivi des tâches

Plateforme d’évaluation Convergence — L’Agence du Numérique en Santé

Nous l’avons vu, la France est pionnière en matière de protection des données médicales grâce à des réglementations strictes et spécifiques. Pour les encadrer et suivre leur application, elle fait appel à des agences dédiées.

Ainsi, l’ANSl’Agence du Numérique en Santé, contribue activement à accélérer la transformation numérique en France en intervenant auprès de tous les acteurs santé, privés comme publics. Elle partage notamment les bonnes pratiques en faveur de la protection des données sensibles à travers ses ressources documentaires et ses programmes de formation. Par ailleurs, elle évalue la sécurité des dispositifs de santé numériques afin d’identifier les vulnérabilités et de recommander des mesures de protection renforcée. Pour cela, elle met à disposition une plateforme pour tester la conformité de son produit e-santé : Convergence.

Pour toutes ces actions, l’ANS s’appuie sur l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), un organisme majeur dans la cybersécurité en France. Il apporte son expertise et ses recommandations afin de renforcer la sécurité des systèmes informatiques utilisés dans le secteur de la santé.

Enfin, à noter également, G_NIUS, le Guichet National de l’Innovation et des Usages en e-Santé, créé en 2020, est une plateforme qui aide à décrypter les réglementations grâce à des contenus pratiques et des mises en relation avec les acteurs clés de la e-santé. 

En somme, la France est très dynamique en matière de protection des données médicales grâce à ses exigences strictes et à l’engagement de ses organismes dédiés en faveur de la transformation numérique. En plus de garantir la sécurité des données des patients, ces mesures encouragent l’innovation dans le domaine de la e-santé.

Les recommandations pour mettre en place une meilleure gestion des risques

Afin de garantir la protection des données médicales, voici 5 recommandations clés pour mettre en place une meilleure gestion des risques :  

Traiter les données médicales comme des données bancaires

Les données médicales sont aussi sensibles que des données bancaires. Les traiter avec le même niveau de confidentialité et s’inspirer des mesures appliquées dans ce secteur sont une bonne manière de prévenir les risques de violation. Cela peut par exemple inclure le chiffrement des données, une authentification à deux facteurs ou la surveillance des connexions frauduleuses.

Appliquer la PGSSI-S

Comme vu plus haut, la PGSSI-S définit les exigences en matière de sécurité des systèmes d’information de santé et fournit les recommandations pour les mettre en œuvre. Son corpus documentaire, régulièrement mis à jour, offre un cadre de référence pour aider les porteurs de projet et éditeurs de logiciels de santé dans son application.

Faire une analyse de risques sur les données des patients

Comme une analyse de risques portée sur la santé des patients, nous vous recommandons de formaliser une analyse similaire sur leurs données confidentielles. Elle va inclure les différentes possibilités de vols de données, les menaces potentielles, les vulnérabilités, les mesures de contrôle etc.

Réaliser des audits de sécurité (pentests)

Les audits de sécurité, tels que des pentests, permettent d’identifier les points de vulnérabilité du projet en simulant une cyberattaque afin de mieux les corriger. C’est donc un excellent moyen d’évaluation avant le déploiement d’une solution.

Se former ou se faire accompagner sur les questions liées à la protection des données

Se former aux bonnes pratiques liées à la protection des données médicales via des dispositifs comme le propose l’ANS ou bien se faire accompagner sur ces sujets, y compris le décryptage des réglementations et des procédures, en faisant appel aux experts de NUMEDIKAL par exemple. Ce point est aujourd’hui fondamental pour assurer la conformité d’un projet et son interopérabilité. 

L’essentiel à retenir

  • 3 grands corpus de réglementations régissent la protection des données médicales : l’HIPAA aux États-Unis, le RGPD en Europe et la PGSSI-S en France.
  • La France applique des réglementations spécifiques et strictes quant à la protection des données médicales via l’ANS, l’ANSSI et G_NIUS qui jouent un rôle clé dans la transformation numérique en santé.
  • Voici 5 recommandations pour mettre en place une gestion des risques plus efficace :
    > Traiter les données médicales au même niveau que des données bancaires
    > Appliquer la PGSSI-S
    Établir une analyse de risques dédiée aux informations sensibles des patients
    > Réaliser des audits de sécurité tels que des pentests
    Se former ou se faire accompagner sur les sujets liées à la protection des données appliquée au secteur médical.

Enfin, en 2023, à l’heure où nous écrivons ces lignes, le regard des experts de la e-santé est tourné vers l’arrivée de la vague 2 du Ségur du numérique en santé qui poursuit l’effort de prise en charge de développement des logiciels de santé. Condition sine qua non : les logiciels doivent être référencés et donc respecter les normes liées à la protection des données et à l’interopérabilité.

Pour être opérationnel face aux évolutions de ces exigences et éviter tout risque qui impacterait le projet, NUMEDIKAL accompagne les acteurs du médical sur ces sujets fondamentaux. Contactez-nous pour en savoir plus !

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
Nom

A lire également

4 Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *