10 janvier 2012

La protection des données de santé, un histoire où il faut être patient !

Donnees de sante
La loi du 4 mars 2002 relative aux droits des malades et à la Qualité du système de santé a placé le patient au cœur des activités de soins. Le patient a donc des droits sur ses données que l’on retrouve au sein des établissements de santé, des cabinets médicaux, mais également chez les pharmaciens ou les assurances maladies.

Mais que peut faire le patient d’une donnée de santé qu’il ne sait pas forcément exploiter si ce n’est que de vouloir la protéger contre une utilisation à des fins malveillantes ?

Il est évident que pour protéger ses propres données de santé, il faudrait déjà être en capacité de protéger ses données personnelles tout court. A quoi bon s’acharner à vouloir protéger ses données de santé quand celles-ci sont en clair sur les réseaux sociaux ? L’accès à ces données est sans contrôle et ces informations peuvent être accessibles publiquement voir revendues. Celles-ci pourraient alors être utilisées à des fins commerciales, dans des prises de décision sur des dossiers clients ou bien lors d’une embauche.

Ceci mis à part, l’état a nommé une institution (l’Agence des Systèmes d’Information Partagés de santé) dont une des missions est de veiller à la protection des données de santé notamment dans cette phase exponentielle de dématérialisation et d’informatisation (bien sûr, la CNIL joue également un rôle important dans la protection des données à caractère personnel). Elle a donné naissance à deux décrets découlant de la loi du 4 mars 2002 et visant à permettre au patient de confier ses données au système de santé français :

• Le décret confidentialité (15 mai 2007) rend obligatoire l’authentification des professionnels de santé par Carte de Professionnel de Santé (CPS) et permet au patient de pouvoir savoir « qui fait quoi » avec ses données.

• Le décret « hébergeur de données de santé » (4 janvier 2006) qui vise à imposer un cadre de protection stricte pour la protection des données de santé lorsqu’elles sont en dehors des structures de soins où elles ont été produites (prestataire informatique, mutualisation des structures, etc.), pour que le patient puisse s’assurer de la sécurité de ses données stockés et échangés.

 

Cette brutale incursion de la sécurité dans le quotidien des professionnels de santé n’a pas favorisé l’adhésion aux projets de mise en conformité. C’est pourquoi, il est important de revenir aux sources de la sécurité de l’information : Pourquoi et pour qui doit-on sécuriser les données des patients ?

Les réponses à ces questions peuvent être longues comme courtes, mais dans tous les cas, elles doivent être motivées par une bonne connaissance du contexte et des risques pesant sur les données de santé. La maîtrise et la communication transverse de ces risques auprès de chaque acteur de santé sont un des facteurs clés de succès des projets de sécurisation des données de santé.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *