Les données de santé sont en France, comme dans la plupart des pays, soumises à un régime légal spécifique. Parce qu’elles sont sensibles et convoitées, il revient aux entreprises du secteur de la santé la responsabilité de prendre les bonnes dispositions pour les protéger. Découvrez les mises en places pour la sécurisation des données de santé en France.
Distinguer données personnelles et données de santé en France, d’un point de vue légal.
Les données à caractère personnel
Les données à caractère personnel sont des données légalement définies comme permettant d’identifier et tracer un être humain. On trouve dans cette catégorie :
- le nom
- le prénom
- l’adresse physique
- le numéro de téléphone d’une personne
- …
Afin d’éviter toute mauvaise utilisation de ces données sensibles, la conservation et l’usage des données à caractère personnel sont encadrés par la loi.
En 2023, c’est le règlement général portant sur la protection des données (RGPD) qui définit les normes pour les États membres de l’Union Européenne. En France, c’est la CNIL, l’organisme chargé de surveiller leur respect par les entreprises.
Les données de santé
Les données de santé sont quant à elles une catégorie plus spécifique de données personnelles. Elles se rapportent aux données relatives à la santé physique ou mentale, ancienne, actuelle ou future, d’une personne. Elles comprennent ainsi plusieurs types d’informations :
- celles collectées lors de l’inscription pour bénéficier de soins ou de prestations de santé
- celles obtenues lors d’un test ou examen médical
- celles concernant une maladie, un handicap, des risques de pathologies, etc.
- …
Considérées comme particulièrement sensibles par leur nature, des règlements spécifiques s’appliquent en France et en Europe aux entreprises qui en conservent. Toutes les informations recueillies lors d’examens médicaux, ainsi que celles portant sur la condition physique d’une personne, sont considérées comme relevant de données de santé.
Les risques et menaces actuelles pesant sur les données de santé.
Des données sensibles toujours plus convoitées
Les statistiques sont évocatrices. En 2022, dans le monde, le nombre de cyberattaques a augmenté de 38 %. Mais en France, celles visant spécifiquement les acteurs de la santé ont quant à elles bondi de 191 % sur un an ! Cette augmentation notable s’explique en premier lieu par la nature même de ces données, facilement exploitables à des fins de revente illégale ou de chantage. De plus, il est essentiel de souligner le retard technologique fréquemment constaté au niveau de l’infrastructure informatique des acteurs de la santé. C’est pour ces raisons que le Segur de la santé 2022 avait la cybersécurité au cœur de ses objectifs, une enveloppe de 2 milliards d’euros ayant été débloquée par l’État à des fins de modernisation et de standardisation.
Les cyberattaques fréquentes et leurs parades
Plusieurs types de cyberattaques peuvent viser les systèmes informatiques utilisés par les acteurs de la santé. D’une part, il y a celles qui s’appuient sur des failles d’ordre technologique, qui peuvent par exemple apparaître dans un logiciel dont le code est mal maîtrisé. D’autre part, il y a l’exploitation des vulnérabilités humaines par le phishing. Dans ce dernier cas, les pirates informatiques se font passer par email ou par téléphone pour des personnes de confiance, afin de soutirer les codes de connexion à un employé.
Les principales parades consistent donc à utiliser des outils à jour et certifiés, à former le personnel détenant des informations sensibles aux bonnes pratiques du numérique. Pour protéger ses données de santé, certaines mesures sont aussi devenues obligatoires comme le recours à des serveurs certifiés HDS pour l’hébergement. Cette qualification vient s’ajouter à la norme 27001. Une évolution de ce référentiel est en cours et devrait voir son application en 2024. https://esante.gouv.fr/actualites/evolution-importante-des-referentiels-de-certification-et-daccreditation-de-lhebergement-de-donnees-de-sante-hds-0?position&keys=hds&pageNumber=1
La PGSSI-S et les normes françaises à respecter par les gestionnaires de données de santé.
Afin de moderniser l’infrastructure informatique traitant des données de santé en France, l’Agence du Numérique en Santé (ANS) a la responsabilité d’accompagner les acteurs de la santé. Sa doctrine du numérique en santé (actualisée dernièrement en 2023) couvre ainsi les sujets d’éthique, d’interopérabilité et de sécurité des données. Pour ce dernier point, c’est la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) qui institue le cadre à respecter par les acteurs de la santé.
Des contraintes progressives pour les porteurs de projets
La PGSSI-S est divisée en guides et en référentiels. Les guides visent à conseiller les acteurs de santé pour les aider à faire les meilleurs choix en matière de méthodes ou de technologies. Quant aux référentiels, ils ont un objectif d’opposabilité et leur respect devient impératif sitôt repris par arrêtés du ministre de la santé.
Les sujets traités par les référentiels de la PGSSI-S
Identification électronique des structures des secteurs sanitaire, médico-social et social.
Depuis 2022, la PGSSI-S a renforcé la sécurité liée à l’identification électronique des acteurs de la santé. Cet aspect concerne spécifiquement l’interconnexion de plusieurs personnes morales (des cliniques par exemple) à un même service. Le recours aux certificats autosignés n’est plus permis dans ce cas et la PGSSI-S oblige les entreprises à passer par la plateforme IGC-Santé. IGC-Santé est un service de gestion de clef cryptographique opéré par l’ANS. C’est une plateforme qui permet d’obtenir des certificats liés à des cartes électroniques d’accès. En implémentant ce système d’authentification à leurs logiciels, les développeurs de solutions numériques de santé s’assurent de respecter la réglementation et de protéger l’accès aux données sensibles que leurs serveurs peuvent comporter.
Identification électronique des professionnels de santé
Pour permettre l’identification sécurisée des professionnels de santé eux-mêmes à un service contenant des données de santé, l’objectif est d’imposer dès 2026 l’usage systématique de moyens électroniques homologués (cartes CPx ou portails Pro Santé Connect par exemple). Les développeurs informatiques doivent donc tenir compte de ces nouvelles exigences.
En attendant 2026 et depuis 2022 cependant, une période transitoire laisse encore le champ libre à des connexions via simples de mots de passe, pourvu que ceux-ci respectent des exigences de complexité détaillées dans la PGSSI-S. En outre, pour assurer une connexion à distance (dans un contexte de télétravail par exemple), l’authentification à double facteur est obligatoire.
Identification électronique des usagers
En ce qui concerne l’identification électronique des usagers, la procédure d’authentification à double facteurs est aussi de mise, l’obligation datant de 2022. Pour respecter la réglementation, la procédure d’authentification à double facteur pour les usagers doit aussi s’appliquer aux changements d’identifiants (en cas de mot de passe oublié par exemple).
Dès 2026, l’usage de l’application mobile Carte Vitale ou d’un moyen certifié eiDAS (niveau substantiel à élevé) devrait devenir impératif.