Sécurité des données de santé : vos données sont-elles suffisamment protégées ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) vient une fois de plus de remplir son rôle de contrôle et de sanction pour garantir la protection des données personnelles de santé avec une décision rendue publique le 14 octobre 2021. Cette décision met en demeure la société Francetest afin qu’elle se conforme au règlement concernant la protection des données. En effet, sur signalement anonyme, la CNIL a constaté de graves manquements notamment au niveau des règles d’hébergement des données de santé, de l’enregistrement des interventions sur ces données et des processus d’authentification.

Plusieurs centaines de milliers de résultats de tests de dépistages auraient ainsi été partagés entre différents organismes de santé tout en étant insuffisamment sécurisé. L’affaire est grave car les risques sont réels en cas de fuite.

Cette société est loin d’être un cas isolé : au cours de ses contrôles la CNIL constate souvent des négligences dans la protection des données personnelles, qui pourraient facilement être évitées. Le traitement des données de santé, en tant que données sensibles, est particulièrement surveillé par cette instance qui en a fait une thématique prioritaire en 2021.

Que vous exerciez en libéral ou dans un centre hospitalo-universitaire, la protection des données médicales est un impératif et participe au respect de la vie privée et au secret médical. Si tous les professionnels de santé sont concernés, les obligations notamment en matière de durée de conservation des données ne sont pas strictement les mêmes selon que ces données sont utilisées dans un but de soin ou bien de recherche (consulter à cet égard les référentiels publiés par la CNIL).

Rappelons que l’impact d’une fuite de données peut en effet être lourd de conséquences pour la personne concernée (tentative d’hameçonnage, usurpation d’identité, utilisation du numéro de sécurité sociale, vente de données à des organisations peu scrupuleuses).

Comment réduire le risque de violation des données ? Comment être certain que les données de santé que vous manipulez sont suffisamment sécurisées ? Ventio vous livre 8 recommandations pour vous améliorer.  

Prêt à ausculter votre niveau de sécurité ?  

  • Une personne avertie en vaut 2 ! 

Sensibilisez-vous en (re)lisant par exemple le guide pratique de l’Ordre National des Médecins et de la CNIL.

  • Combattez férocement vos mauvaises habitudes ainsi que celles de vos collaborateurs.

Le cas le plus classique est celui de la session d’ordinateur ouverte. Quitteriez-vous votre domicile en laissant la porte ouverte ? Pour parer ce problème vous pouvez mettre en place un verrouillage automatique après quelques minutes d’inactivité. Pas de tolérance pour la négligence !

  • Faites un scan complet de votre système informatique.   

Vous avez fermé la porte, mais évitez de laisser la clé sous le paillasson. Vérifiez auprès de votre prestataire informatique que vos mots de passe sont suffisamment difficiles à deviner, que vos supports informatiques sont chiffrés, et que vos systèmes d’exploitation et antivirus sont à jour. L’accès à votre réseau informatique doit être sécurisé par un pare-feu, et vous devez avoir des sauvegardes. Si l’un de ces éléments est défaillant, vous risquez une fuite de données et une mise en demeure de la CNIL en cas de contrôle.

Sur les mots de passe, la CNIL mène jusqu’au 3 décembre 2021 une consultation publique pour mettre à jour ses recommandations datant de 2017.

Comment vous assurer que votre informatique est bien protégé d’accès non autorisés ? Vous connaissez les tests d’intrusion ? Des spécialistes se mettent dans la peau d’un hackeur et vous font un rapport des endroits par lesquels ils se sont introduits sur votre système.

  • N’envoyez pas des documents n’importe comment

Pour l’échange de documents entre professionnels ou avec les patients par messagerie électronique, vous devez utiliser une messagerie sécurisée et/ou chiffrer les pièces jointes contenant de l’information sensible. Rapprochez-vous de votre prestataire informatique si vous avez un doute. Bientôt en 2022, vous aurez l’espace numérique de santé pour échanger des documents sensibles.

  • Ne confiez pas vos données à n’importe qui !  

Si vous avez recours à un prestataire pour l’hébergement des données de santé, il doit avoir la certification HDS (Hébergeur de Données de Santé), et donc par exemple faire partie de cette liste. Si ce n’est pas le cas migrez rapidement vos données vers un hébergeur certifié.

  • Prêtez attention à vos outils complémentaires.

Si vous faites appel à un prestataire pour la prise de rendez-vous, il doit vous garantir qu’il respecte le RGPD et ne va pas au-delà de vos instructions. Cela doit se faire par un contrat de sous-traitance sur lequel vous devez être vigilant. Pour un service en ligne, renseignez-vous sur la politique de protection des données personnelles, et gardez une trace des conditions générales d’utilisation. Une fois le service rendu, assurez-vous que les données personnelles ne sont pas conservées au-delà d’un délai raisonnable par votre prestataire. 

  • Renseignez-vous sur la réglementation qui s’applique à votre cas

Par exemple, si vous souhaitez faire de la recherche avec les données de vos patients, vous devez réaliser une analyse d’impact, c’est-à-dire anticiper les potentielles conséquences sur vos patients en cas de violation ou corruption de leurs données. Vous pourrez anticiper des mesures afin de prévenir et gérer cela conformément aux articles 35 et 36 du RGPD.

  • Tracez et anticipez un contrôle…

Garder et maintenez à jour des traces de vos traitements, de vos supports de données et des actions pour la sécurisation des données. Ce sont ces éléments que la CNIL regardera en cas de contrôle.  

Du bon sens, des bonnes pratiques et de la sensibilisation sont les premiers éléments vers la conformité.  

A la vue des enjeux et des sanctions encourues, il est néanmoins recommandé de se faire accompagner dans la sécurisation de ses données afin de mettre en place un traitement conforme.

Un projet de traitement de données sensible de santé à grande échelle ? Un besoin d’évaluer votre niveau de sécurité, de conformité, d’anticiper ou de répondre à des obligations ou des sollicitations de la CNIL ? Ventio peut vous délivrer de précieux conseils et vous proposer différents accompagnements allant de l’audit de conformité, à l’analyse d’impact ou pour faire le lien entre vous et la CNIL… Contactez-nous pour être dans le vent !