<   Retour aux articles

Sécuriser au mieux les données de votre établissement de santé

Photo auteur

Ecrit par : Naobee

Sécurité

Depuis quelques années, la France est entrée dans l’ère de la numérisation massive des données. Parmi elles, peut-être les plus précieuses, les données de santé des citoyens sont périodiquement ciblées par des tentatives de phishing (ou hameçonnage), mais aussi par des cyberattaques au ransomware (ou rançongiciel). Cependant, afin d’instaurer le cercle vertueux et la confiance nécessaire au partage éclairé de ses données personnelles par le patient, il est essentiel d’apprendre à sécuriser au mieux les données de votre établissement de santé.

Données de santé des patients : quelles sont les informations collectées 

En matière de données personnelles, il existe plusieurs types de données et plusieurs niveaux de sensibilité. Ainsi, les données d’identité (nom, prénom, adresse…) ne sont pas traitées de la même façon que les données de santé. Pour plus de précision, la CNIL nous donne sa définition.

« Sont qualifiées de données de santé, les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne. »

Les informations collectées dans le cadre du recueil des données de santé des patients regroupent donc :

  • l’ensemble des résultats d’examens que sont les données biologiques et génétiques, ou toute information obtenue par l’analyse médicale d’une partie du corps ;
  • les informations collectées lors d’un service de soin, les questionnaires médicaux ;
  • les données liées à une maladie, un handicap, un traitement clinique, une pathologie héréditaire… ;
  • toutes les données potentiellement en rapport avec l’état de santé d’une personne, telles que ses caractéristiques physiques : son poids, sa taille ou encore son niveau de tension.

Que dit la législation française en matière de propriété des données ? 

En France, chacun peut décider ou non de partager ses données personnelles. Les établissements et les professionnels habilités à les collecter (Sécurité sociale, mutuelles, laboratoires d’analyses médicales, hôpitaux, médecins spécialistes et généralistes…) ont par ailleurs l’obligation de recueillir le consentement des patients en amont.

  • Toutefois, les données de santé sont exclues du droit de propriété par la loi Informatique et Libertés de 1978, ce qui veut dire qu’elles n’appartiennent à personne : ni aux établissements de santé, ni aux entreprises qui les collectent, ni aux patients eux-mêmes. Malgré cette exclusion, chacun dispose de droits fondamentaux sur ses propres données personnelles et de santé.
  • Un droit de regard qui permet à chacun de consulter les données le concernant.
  • Un droit de suppression partielle ou totale des données collectées.
  • Un droit de rectification des données en cas de modification ou d’erreur.
  • Un droit de portabilité, pour, par exemple, transférer un dossier d’un spécialiste à un autre.
  • Un droit de limite par rapport au nombre de personnes en capacité d’accéder à ses données partagées.

Comment sécuriser les données personnelles recueillies dans votre établissement de santé ?

En tant qu’établissement de soin, vous êtes dans l’obligation d’assurer une gestion sécurisée des données de santé partagées par vos patients. Or, plus qu’une obligation, l’enjeu sécuritaire de protection des données est désormais crucial. Voici pour vous aider, quelques points fondamentaux à retenir :

  • mettre et tenir à jour les logiciels et antivirus utilisés par vos équipes et votre administration,
  • changer régulièrement l’ensemble des mots de passe utilisés dans votre établissement, les rendre plus complexes ou chiffrer certaines données,
  • établir un contrat de suivi et de maintenance avec un prestataire en sécurité informatique,
  • nommer un DPO (Data Protection Officer),
  • héberger les informations concernées par le biais d’un professionnel ou d’un service certifié HDS (des hébergeurs de données de santé),
  • organiser les bonnes pratiques en interne : sécuriser le matériel des salariés et les sensibiliser aux risques de fuites des données, renforcer les procédures d’authentification (notamment en cas de télétravail) et utiliser des outils ERD (Endpoint Detection and Response) adaptés pour anticiper et détecter les cyberattaques.

Télétravail : comment assurer la sécurité des données personnelles à distance ? 

Depuis deux ans et la mise en place des premiers confinements en France, le télétravail est en plein essor. Directement lié aux enjeux de souveraineté et de sécurisation des données, le travail à distance demande la mise en place de certaines règles strictes de sécurité et de confidentialité.

  • Équiper chaque poste de travail d’un pare-feu, d’un antivirus et d’un outil de blocage face aux sites malveillants.
  • Utiliser un dispositif d’authentification sûr (certificat électronique, carte à puce, token, double authentification…).
  • Chiffrer les flux d’informations par l’utilisation d’un VPN, de protocoles HTTPS et SFTP…)
  • Partager une liste d’outils de communication et de travail collaboratif sécurisés.

Vous vous demandez si votre établissement de santé est suffisamment équipé pour sécuriser les données partagées par les patients ? Les questions suivantes pourront vous aider à vous positionner et à mettre les actions nécessaires en place.

  • Est-ce que chaque compte utilisateur est protégé par un mot de passe complexe et régulièrement renouvelé ?
  • Une procédure de sauvegarde et de récupération des données est-elle prévue en cas d’incident ?
  • L’accès au réseau et aux informations partagées est-il protégé par la création d’un profil sécurisé ?

La sécurisation des données de santé est un véritable défi à relever. La connaissance des risques est un premier pas décisif en direction d’un renforcement de la cybersécurité des hôpitaux et des établissements de soins.

Soyez au courant des évolutions Inscrivez vous à notre newsletter

Votre inscription a été validée !
Bulles dialogue

Une question?Vous souhaitez une démo ?

Go !