in

L’Hébergement des données de santé à caractère personnel : un enjeu stratégique – Xavier Lefaucheux, vice-président des ventes Europe du Sud de Wallix

Les établissements de santé ont une mission de service public. Mais au-delà de la mission de santé publique, ils endossent, de fait, aussi une mission de protection de leurs patients et en particulier de protection des données sensibles qu’ils collectent sur ceux-ci : les données de santé à caractère personnel.

Parce que l’hôpital est toujours plus numérisé, parce qu’il fait appel à toujours plus de prestataires externes, les risques existent : risque de perte des données, de fuite de données, de corruption de ces données. C’est toute la confiance dans le secteur de la santé qui est en jeu.

L’ASIP Santé, agence créée en 2009 notamment pour accompagner l’émergence de technologies numériques dans le secteur de la santé tout en veillant au respect des droits des patients, a défini le référentiel d’agrément des hébergeurs de données de santé à caractère personnel (HDS).

Ce référentiel organise le dépôt et la conservation des données de santé dans des conditions de nature à garantir leur pérennité et leur confidentialité, de les mettre à la disposition des personnes autorisées selon des modalités définies par contrat, et de les restituer en fin de contrat. Cet hébergement ne peut avoir lieu qu’avec le consentement exprès de la personne concernée.

Il est donc essentiel pour les candidats à l’agrément de l’ASIP Santé – délivré pour une durée de 3 ans renouvelable – de clarifier ses exigences et d’identifier les solutions de cyber-sécurité des données aptes à contribuer à leur conformité règlementaire.

Les hébergeurs doivent donc se conformer à de nombreuses exigences et mettre en œuvre une série d’actions pour pouvoir obtenir leur agrément afin d’héberger des données de santé à caractère personnel.

Bien sur, si un établissement héberge lui-même ses dossiers hospitaliers, il n’a pas besoin d’obtenir un agrément. En revanche, si l’établissement met son système d’hébergement au service d’autres établissements de santé, il est soumis à la procédure d’agrément. Il en est de même pour les établissements de coopération sanitaire (groupements de coopération sanitaire – GCS -, communautés hospitalières …) qui mettent à disposition de leurs membres leur système d’hébergement : ils sont soumis à cette procédure d’agrément.

Attention aux aspects liés à la sécurité

Dans ce contexte, il est nécessaire de bien penser à  gérer le contrôle des accès et la traçabilité des utilisateurs à privilèges

Nous pouvons prendre par exemples, la gestion des mots de passe, le contrôle et de traçabilité des accès des prestataires externes, des administrateurs internes à l’entreprise et des super-utilisateurs. Cela permet également d’enregistrer les sessions d’administration et de les visionner ultérieurement en cas de besoin (audit, incident,…).

Enfin, les responsables de la sécurité du système d’information et hébergeurs peuvent gérer facilement le turn-over de leurs équipes, sans craindre de laisser l’accès aux données hébergées

Parce qu’elle permet de mettre en place une véritable politique de sécurité répondant aux exigences technologiques et légales, l’approche « Privileged Access Management » est donc également à intégrer dans les projets d’hébergement des données de santé à caractère personnel.

Il ressort donc de l’ensemble de ces éléments qu’héberger des données de santé à caractère personnel nécessite de mettre en place des dispositifs industriels associant technologies, approche métier et contraintes légales.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.