(Par Philippe Tourron, RSSI, Hôpitaux de Marseille)

Le RGPD intègre la notion de « donnée médicale » dans la définition des données à caractère personnel concernant la santé. Comment répondez-vous déjà par vos processus organisationnels aux impératifs de formalisme et de gouvernance ?

La donnée de santé répond déjà à de nombreuses obligations de protection et de gestion au sens large. En effet, les données de santé sont des données à caractère personnel sensibles. Les lois et les règlementations sont déjà proches du cadre du RGPD :

  • La loi Informatique et Libertés impose la déclaration ou l’autorisation ainsi que la protection des traitements de données à caractère personnel avec éventuellement la nomination d’un CIL.
  • Le RGS (Référentiel Général de Sécurité) impose déjà le cadre de l’homologation de sécurité avec l’analyse de risque au cœur de la responsabilisation de l’établissement de santé (Autorité Administrative). Cette démarche est certes limitée à tout traitement au sens de téléservice pour tout citoyen ou toute autre autorité administrative. Néanmoins, la démarche d’homologation (analyser les risques et les mesures de protection, accepter les risques résiduels) est élargie à tout traitement/application par la PSSI du Ministère Chargé des Affaires Sociales (MCAS).

Par ailleurs, les modalités d’utilisation des données de santé répondent à un cadre précis avec des modalités de consentement notamment dans l’usage à finalité de recherche (la Méthodologie de Référence pour la Recherche MR003 publiée par la CNIL l’année dernière vient potentiellement s’imbriquer dans ce cadre).

Enfin, les établissements agréés Hébergeurs de données de santé (et prochainement certifiés) doivent répondre à des exigences de protection et notamment de confidentialité renforcée.

Alors qu’est ce qui change pour un établissement de santé avec le RGPD ?

Tout d’abord, c’est l’angle de vue et d’analyse du risque. En effet, il s’agit dans le cadre du RGPD de passer du point de vue de l’établissement à celui de la personne, donc du patient en ce qui concerne la donnée médicale.

Le PIA (en anglais, Privacy Impact Assessment : https://www.cnil.fr/fr/PIA-privacy-impact-assessment) est une étude d’impact sur la protection des données. Elle est au centre de ce nouveau règlement qui place l’intérêt de la personne comme enjeu de la protection. Avec ses mesures de protection, le PIA doit donc être une source de confiance. Ce recueil du besoin de sécurité dès les projets (s’appuyant sur la méthodologie Ebios adaptée au RGPD, cf. guides CNIL avec le lien PIA précédent) doit devenir un passage obligé permettant aussi de satisfaire au contrôle des exigences de privacy by default et by design.

Ensuite, une part de conformité juridique vient compléter ces dispositions. Cette dimension se prolonge dans la relation avec les fournisseurs qui devront aussi être conformes au RGPD et les contrats ou conventions devront préciser les responsabilités.

Mesures juridiques (extrait site CNIL : guide PIA, la méthode) :

Identifier ou déterminer les mesures retenues (existantes ou prévues) pour respecter les exigences légales suivantes (nécessitant d’expliquer comment il est prévu de les mettre en œuvre) :

  1. finalité : finalité déterminée, explicite et légitime ;
  2. minimisation : réduction des données à celles strictement nécessaires ;
  3. qualité : préservation de la qualité des données à caractère personnel ;
  4. durées de conservation : durée nécessaire à l’accomplissement des finalités, à défaut d’une autre obligation légale imposant une conservation plus longue ;
  5. information : respect du droit à l’information des personnes concernées ;
  6. consentement : obtention du consentement des personnes concernées ou existence d’un autre fondement légal justifiant le traitement ;

Enfin, l’information (alerte) vers les autorités et les personnes concernées lors d’un incident de fuite d’information complète cette volonté d’apporter de la transparence et donc de la confiance.

L’alerte aux autorités, en cas de fuite de données, doit être rapide (72 heures maximum). De plus, l’information aux personnes concernées est beaucoup plus stricte et potentiellement individuelle avec la nécessité de preuves à conserver et à communiquer. La capacité à gérer des crises pour réagir rapidement et limiter les impacts est également à démontrer lors d’un incident.

Quel est votre diagnostic de maturité quant aux dispositifs existants de protection des données personnelles et donc de santé ?

La maturité sera variable selon le parcours de chaque établissement. Le fait de disposer d’une certification ISO 27001 et d’un agrément d’hébergeur de données de santé est naturellement un élément déterminant. En ce qui concerne l’AP-HM, nous disposons de ces certifications et agréments. Le CIL et le RSSI travaillent en binôme depuis plus de 6 ans. De ce fait, nous avons déjà une partie de nos dispositifs existants qui sont réutilisables.

La CNIL propose une démarche en 6 étapes bien documentée et de nombreux guides commencent à être communiqués pour outiller cette démarche (https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes) :

  1. Identifier un pilote ;
  2. Réaliser la cartographie du SI ;
  3. Prioriser les actions ;
  4. Gérer les risques ;
  5. Organiser ;
  6. Documenter

Ce nouveau règlement amène la nomination d’un Délégué à la Protection des Données (DPD). Comment cette nomination se prépare-t-elle en interne ? Y-aura-il un délégué unique pour l’ensemble de vos établissements ?

Nous menons une réflexion avec notre CIL depuis plusieurs mois pour identifier les modalités de réalisation des actions de conformité au RGPD :

  • Recenser les traitements et données concernées CIL-RSSI ;
  • Analyser les risques (impacts pour les personnes) RSSI ;
  • Vérifier la protection (by default, by design) ;
  • Vérifier la conformité (licéité / usages et lois) CIL-Juriste ;
  • Mettre en cohérence la sous-traitance (conformité RGPD) Juriste-achat ;
  • Détecter et gérer (notification) les incidents (gestion de crise : protéger, récupérer, alerter les autorités et les personnes concernées) RSSI-CIL …

Le DPD regroupe en fait les compétences d’un CIL, d’un RSSI et d’un juriste. C’est pourquoi, nous nous orientons vers une équipe DPD avec un DPD (le CIL actuel), un DPD adjoint (le RSSI pour une part de son activité) et un juriste pour des interventions ponctuelles. L’ensemble des membres de cette équipe interviendra sur un pourcentage d’activité (pour représenter 1 à 1,5 ETP environ au total).

Il est à noter que nous avons fait le choix d’avoir un CIL médecin ce qui est un avantage précieux lors de l’analyse de la licéité des données médicales.

Garantir les moyens pour ces actions est un enjeu capital pour la réelle efficacité du RGPD. Ainsi un budget dédié devrait accompagner l’équipe DPD destiné à :

  • Des formations pour l’équipe DPD pour relayer l’organisation et les bonnes pratiques aux acteurs du SI. Nous nous appuyons sur le dispositif déjà en place de e-learning de sensibilisation à la sécurité du SI, sur les communications SSI lors des journées pour les nouveaux arrivants ;
  • Des moyens d’audit pour vérifier la protection (prestation externe).

Au niveau de la sensibilisation des salariés, organisez-vous ou allez-vous organiser des modules de formation à la protection des Systèmes d’Information comme cela est demandé par le RGPD ?

Comme pour les exigences de la loi Informatique et Libertés, la sensibilisation des acteurs du SI est indispensable pour que la sécurité soit homogène, cohérente et qu’elle soit l’affaire de tous.

Tout d’abord, la publication du registre de déclaration des traitements (publié sur l’intranet et le site web de l’établissement) permet l’information continue sur les données utilisées. Un complément sera à envisager dans les applications web destinées aux patients ou aux membres du personnel les amenant à renseigner des données personnelles.

L’usage du e-learning avec des activités dédiées au RGPD selon son rôle dans l’établissement est un moyen de réponse à la difficulté de soustraire les médecins et soignants de leurs activités auprès des patients.

La charte et la PSSI seront aussi le moyen d’inscrire de manière opposable l’organisation et les droits et devoirs de chacun dans le cadre du RGPD.

Enfin, des campagnes de communication ciblant la confidentialité accompagneront la mise en place des organisations et des actions d’analyse (PIA) et de protection.

Pour conclure, nous pouvons constater que le périmètre du RGPD dans un établissement de santé est immense et couvre la majorité du SI y compris le SI RH pour les données à caractère personnel concernant les agents. Ainsi, même si nos démarches d’agrément hébergeur de données de santé, de certification sécurité ISO 9001 de la DSI et ISO 27001 pour l’hébergement ont construit un cadre réutilisable, les projets associés au RGPD restent nombreux avec plusieurs dizaines d’applications éligibles au RGPD. On voit aussi que l’obligation de conformité des sous-traitants ouvre un périmètre très large d’éditeurs et mainteneurs notamment avec des avenants aux marchés publics. Un plan d’action priorisant le périmètre de plus forte criticité est nécessaire pour garantir la conformité progressive au RGPD.

Il reste aussi en suspend des questions spécifiques au domaine santé :

  • Quelles seront les conditions de portabilité des données de santé ?
  • Comment anonymiser ou pseudonymiser sans perte de chance au soin pour les patients ?
  • Quelle cohérence garantir entre le RGPD et le cadre de la recherche ?
  • Quelle sera la capacité de tous les sous-traitants à se mettre en conformité ?

Pour les contacter : http://fr.ap-hm.fr/

 

Cette interview a été réalisée et publiée par SECEM Magazine n°11 – Septembre/Octobre 2017

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.