La sécurisation des données de santé, comment protéger vos données ?

20 février 2024 | Actualités, Articles

sécurisation des données de santé

Les données de santé sont en France, comme dans la plupart des pays, soumises à un régime légal spécifique. Parce qu’elles sont sensibles et convoitées, il revient aux entreprises du secteur de la santé la responsabilité de prendre les bonnes dispositions pour les protéger. Découvrez les mises en places pour la sécurisation des données de santé en France.

Distinguer données personnelles et données de santé en France, d’un point de vue légal.

Les données à caractère personnel

Les données à caractère personnel sont des données légalement définies comme permettant d’identifier et tracer un être humain. On trouve dans cette catégorie : 

  • le nom
  • le prénom 
  • l’adresse physique
  • le numéro de téléphone d’une personne

Afin d’éviter toute mauvaise utilisation de ces données sensibles, la conservation et l’usage des données à caractère personnel sont encadrés par la loi. 

En 2023, c’est le règlement général portant sur la protection des données (RGPD) qui définit les normes pour les États membres de l’Union Européenne. En France, c’est la CNIL, l’organisme chargé de surveiller leur respect par les entreprises. 

Les données de santé

Les données de santé sont quant à elles une catégorie plus spécifique de données personnelles. Elles se rapportent aux données relatives à la santé physique ou mentale, ancienne, actuelle ou future, d’une personne. Elles comprennent ainsi plusieurs types d’informations : 

  • celles collectées lors de l’inscription pour bénéficier de soins ou de prestations de santé 
  • celles obtenues lors d’un test ou examen médical
  • celles concernant une maladie, un handicap, des risques de pathologies, etc. 
  • … 

Considérées comme particulièrement sensibles par leur nature, des règlements spécifiques s’appliquent en France et en Europe aux entreprises qui en conservent. Toutes les informations recueillies lors d’examens médicaux, ainsi que celles portant sur la condition physique d’une personne, sont considérées comme relevant de données de santé. 

Les risques et menaces actuelles pesant sur les données de santé. 

Des données sensibles toujours plus convoitées

Les statistiques sont évocatrices. En 2022, dans le monde, le nombre de cyberattaques a augmenté de 38 %. Mais en France, celles visant spécifiquement les acteurs de la santé ont quant à elles bondi de 191 % sur un an ! Cette augmentation notable s’explique en premier lieu par la nature même de ces données, facilement exploitables à des fins de revente illégale ou de chantage. De plus, il est essentiel de souligner le retard technologique fréquemment constaté au niveau de l’infrastructure informatique des acteurs de la santé. C’est pour ces raisons que le Segur de la santé 2022 avait la cybersécurité au cœur de ses objectifs, une enveloppe de 2 milliards d’euros ayant été débloquée par l’État à des fins de modernisation et de standardisation.

Les cyberattaques fréquentes et leurs parades

Plusieurs types de cyberattaques peuvent viser les systèmes informatiques utilisés par les acteurs de la santé. D’une part, il y a celles qui s’appuient sur des failles d’ordre technologique, qui peuvent par exemple apparaître dans un logiciel dont le code est mal maîtrisé. D’autre part, il y a l’exploitation des vulnérabilités humaines par le phishing. Dans ce dernier cas, les pirates informatiques se font passer par email ou par téléphone pour des personnes de confiance, afin de soutirer les codes de connexion à un employé. 

Les principales parades consistent donc à utiliser des outils à jour et certifiés, à former le personnel détenant des informations sensibles aux bonnes pratiques du numérique. Pour protéger ses données de santé, certaines mesures sont aussi devenues obligatoires comme le recours à des serveurs certifiés HDS pour l’hébergement. Cette qualification vient s’ajouter à la norme 27001. Une évolution de ce référentiel est en cours et devrait voir son application en 2024. https://esante.gouv.fr/actualites/evolution-importante-des-referentiels-de-certification-et-daccreditation-de-lhebergement-de-donnees-de-sante-hds-0?position&keys=hds&pageNumber=1

La PGSSI-S et les normes françaises à respecter par les gestionnaires de données de santé.

Afin de moderniser l’infrastructure informatique traitant des données de santé en France, l’Agence du Numérique en Santé (ANS) a la responsabilité d’accompagner les acteurs de la santé. Sa doctrine du numérique en santé (actualisée dernièrement en 2023) couvre ainsi les sujets d’éthique, d’interopérabilité et de sécurité des données. Pour ce dernier point, c’est la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) qui institue le cadre à respecter par les acteurs de la santé. 

Des contraintes progressives pour les porteurs de projets

La PGSSI-S est divisée en guides et en référentiels. Les guides visent à conseiller les acteurs de santé pour les aider à faire les meilleurs choix en matière de méthodes ou de technologies. Quant aux référentiels, ils ont un objectif d’opposabilité et leur respect devient impératif sitôt repris par arrêtés du ministre de la santé.

Les sujets traités par les référentiels de la PGSSI-S 

Identification électronique des structures des secteurs sanitaire, médico-social et social.

Depuis 2022, la PGSSI-S a renforcé la sécurité liée à l’identification électronique des acteurs de la santé. Cet aspect concerne spécifiquement l’interconnexion de plusieurs personnes morales (des cliniques par exemple) à un même service. Le recours aux certificats autosignés n’est plus permis dans ce cas et la PGSSI-S oblige les entreprises à passer par la plateforme IGC-Santé. IGC-Santé est un service de gestion de clef cryptographique opéré par l’ANS. C’est une plateforme qui permet d’obtenir des certificats liés à des cartes électroniques d’accès. En implémentant ce système d’authentification à leurs logiciels, les développeurs de solutions numériques de santé s’assurent de respecter la réglementation et de protéger l’accès aux données sensibles que leurs serveurs peuvent comporter. 

Identification électronique des professionnels de santé

Pour permettre l’identification sécurisée des professionnels de santé eux-mêmes à un service contenant des données de santé, l’objectif est d’imposer dès 2026 l’usage systématique de moyens électroniques homologués (cartes CPx ou portails Pro Santé Connect par exemple). Les développeurs informatiques doivent donc tenir compte de ces nouvelles exigences. 

En attendant 2026 et depuis 2022 cependant, une période transitoire laisse encore le champ libre à des connexions via simples de mots de passe, pourvu que ceux-ci respectent des exigences de complexité détaillées dans la PGSSI-S. En outre, pour assurer une connexion à distance (dans un contexte de télétravail par exemple), l’authentification à double facteur est obligatoire. 

Identification électronique des usagers

En ce qui concerne l’identification électronique des usagers, la procédure d’authentification à double facteurs est aussi de mise, l’obligation datant de 2022. Pour respecter la réglementation, la procédure d’authentification à double facteur pour les usagers doit aussi s’appliquer aux changements d’identifiants (en cas de mot de passe oublié par exemple).

Dès 2026, l’usage de l’application mobile Carte Vitale ou d’un moyen certifié eiDAS (niveau substantiel à élevé) devrait devenir impératif.

Autres Actualités

L’innovation en santé, un enjeu stratégique soutenu par le CIR et le CII

Comment les sociétés innovantes en santé peuvent profiter des dispositifs fiscaux favorables à la recherche et au développement ? Le...

Tout ce que vous devez savoir sur la réglementation des essais cliniques pour dispositifs médicaux

En France, la commercialisation d’un dispositif médical fait l’objet d’un parcours réglementaire spécifique. Pour en prouver la sécurité et l’efficacité,...

Comment obtenir une prise en charge de votre dispositif médical ?

La prise en charge d’un dispositif médical par la collectivité est un enjeu essentiel pour les fabricants. En effet, en...

Comment mettre en place un suivi clinique après commercialisation ?

Le SCAC (suivi clinique après commercialisation), ou PMCF en anglais (pour post market clinical follow-up) est une obligation règlementaire. C’est...

Contactez-nous

Si vous êtes porteur de projet en santé numérique, toute notre équipe est à votre écoute pour vous accompagner.

Inscription Newsletter

4 + 12 =

En soumettant ce formulaire, j’accepte que les informations saisies soient utilisées pour me recontacter. J’accepte également la politique de confidentialité.

04 11 95 01 39

contact@kyomed.com

Quels critères de sélection utilise-t-on pour évaluer un centre avant sélection ?
  • La formation des investigateurs (médecins qualifiés selon la spécialité, …)
  • La capacité d’un centre à réaliser la recherche
  • Le potentiel de recrutement adéquat (file active de patients)
  • Un plateau technique adapté
  • Des ressources humaines disponibles pour la réalisation de l’étude 

Idéation

La première étape commence dans les phases amont d’idéation, nous pouvons vous accompagner, grâce à différentes méthodes, pour vous assurer que vous connaissez bien vos futurs utilisateurs ainsi que leurs besoins et attentes. Cela permettra de construire des bases solides pour votre solution. 
5

Intégration

Par la suite, il faudra s’assurer de l’intégration de votre solution dans un parcours de soins ainsi que de son acceptabilité par ses futurs utilisateurs. D’autres méthodes existent également afin de construire, challenger et garantir cela. 
5

Vérification

Enfin, développer une solution numérique, c’est aussi s’assurer de son utilisabilité par les futurs utilisateurs, c’est-à-dire construire, tester et améliorer l’interface afin qu’il soit facile d’utilisation et donc plus facilement adopté. Nous pouvons pour cela construire une maquette interactive de votre solution qui va être challengée auprès des futurs utilisateurs.