RGPD, le défi de la sécurité dans le secteur de la santé

Le 7 octobre, le Centre hospitalier Sud Francilien (CHSF), situé à Corbeil-Essonne, a annoncé dans un communiqué avoir envoyé un courrier à 700 000 personnes, patients et membres de son personnel,  potentiellement concernés par une violation de données, à la suite d’une cyberattaque. Ce courrier d’information se fait  conformément à l’article 34 du Règlement Général sur la Protection des Données (RGPD). 

Une obligation de sécurité accrue 

La sécurité des données a été l’un des thèmes centraux du webinaire “RGPD & secteur santé : quelles sont les spécificités ?” organisé par Data Legal Drive le 20 septembre. En 2021, 582 établissements ont déclaré 733 incidents, un chiffre qui a pratiquement doublé par rapport à 2020 selon le dernier rapport du CERT Santé. “La sécurité est souvent le prisme par lequel la protection des données est abordée, notamment dans le secteur hospitalier, indique Thomas Vini Pires, consultant RGPD chez Data Legal Drive. Le RGPD s’applique avec force étant donné la sensibilité des données traitées et des personnes concernées, en outre, un régime plus restrictif s’applique en matière de cybersécurité. Lorsqu’un incident menant à une violation de données est détecté,  le RGPD  impose une notification à la Cnil dans les 72 heures s’il existe un risque pour la vie privée des personnes concernées. Le secteur de la santé fait face à des obligations supplémentaires, en cas d’incident grave il faudra notifier l’Agence régionale de santé (ARS) via un portail spécifique. L’ARS va travailler avec l’ANS pour qualifier l’incident et faire le lien avec les autorités compétentes. Si l’établissement hospitalier a été désigné comme opérateurs de services essentiels (OSE) et que l’incident peut avoir un impact significatif sur la continuité des services, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) devra être notifiée”.

La directive européenne Network and Information Security (NIS), transposée en droit français en 2018, a instauré la désignation d’OSE. Selon le rapport d’activité 2021 de l’ANSSI, 135 groupements hospitaliers ont été désignés opérateurs de services essentiels. “ Ces opérateurs sont considérés comme essentiels au fonctionnement de la société, ce qui impose un socle minimal en termes de sécurité et des mesures obligatoires à prendre pour se conformer à ce régime particulier. De plus, il existe également une politique de sécurité du système d’information spécifique au secteur de la santé mise en œuvre par l’ANSSI qui contient des référentiels de sécurité à respecter et des recommandations”,  décrit Thomas Vini Pires. 

La spécificité des données de santé 

Les données de santé constituent une catégorie à part, leur traitement impose donc aux établissements des obligations supplémentaires. “Comme pour tout traitement de données, les principes de base de la protection vont s’appliquer : le privacy by design (la protection des données personnelles intégrée dès la conception du projet, ndlr), la minimisation des données,  la limitation des durées de conservation, la formation, les droits des personnes, etc. Mais dans de nombreux cas, le traitement de la donnée de santé repose sur un encadrement plus fort en termes de sécurité, d’information, de mesures organisationnelles de protection. Par exemple, les autorités de protection des données européennes ont défini neuf critères de sensibilité de traitement (lorsque ce dernier touche des personnes vulnérables, lorsqu’il est réalisé à grande échelle, etc.). Dès lors qu’un traitement revêt deux de ces critères au moins, il est obligatoire de réaliser une analyse d’impact. La grande majorité des traitements dans le secteur de la santé doivent donc faire l’objet d’une analyse d’impact relative à la protection des données (AIPD)”, souligne Thomas Vini Pires. Autre point d’attention pour les établissements, sur la question de l’encadrement des relations avec les tiers, le RGPD impose une notion supplémentaire : l’hébergeur de données de santé (HDS). “ Chaque établissement hospitalier, responsable de  traitement, lorsqu’il fait appel à un tiers doit  s’assurer que ce dernier, qui accepte de stocker de la donnée de santé, soit certifié HDS. Attention, cette obligation ne s’applique pas uniquement à l’hébergement proprement dit. Elle vise également l’infogérance, l’ensemble des éléments du système informatique pour le traitement de données de santé est concerné”, alerte le consultant RGPD. 

Difficulté supplémentaire pour les établissements de santé, d’autres textes légaux se superposent au RGPD. “Prenons l’exemple des durées de conservation, le Code de la santé publique vient définir certaines règles à respecter, notamment concernant les durées de conservation des dossiers médicaux. Il impose ainsi une durée de conservation légale de vingt ans à compter de la date du dernier séjour ou de la dernière consultation. Cela nécessite pour le délégué à la protection des données (DPO) de bien connaître l’ensemble du droit applicable et ce n’est pas une chose aisée “ estime Thomas Vini Pires. D’autant que certaines notions peuvent encore être précisées. La Cour de justice de l’Union européenne a ainsi rendu le 1er août 2022 une décision tranchant en faveur d’une interprétation extensive des données sensibles. “Il existe des données de santé par nature et d’autres qui le sont par destination (lorsqu’elles sont utilisées à des fins médicales, ndlr). Il faut avoir une vision très extensive de ce qu’est une donnée de santé et juger à chaque fois en fonction du contexte,  du traitement et de l’information que vous souhaitez avoir”,  considère Thomas Vini Pires. 

Le rôle central du DPO 

Le délégué à la protection des données élabore la politique de protection de la vie privée, il est également le garant de la démarche de conformité d’un établissement. Une mission qui implique une transformation opérationnelle de l’établissement.  “Le groupement hospitalier de territoire Plaine de France, c’est une capacité de 1800 lits et 5600 personnes sur deux établissements. Sur le plan de la stratégie en conformité, il a fallu définir des priorités mais aussi une langue de service autour de la conformité avec une stratégie de délégation au métier, les RH par exemple,  de la prise en charge de cette conformité. Cela passe par une sensibilisation, une formation à l’outil de conformité, à la réalisation du registre avec une méthodologie. Les outils informatiques, notamment les  Shadow IT, ont été étudiés. Je pense en particulier aux portails déclaratifs, ils sont souvent oubliés alors que nous sommes collecteurs de données pour d’autres organismes. Puis, il faut définir dans les équipes  les ambassadeurs de la conformité afin qu’ils s’imprègnent pleinement de leur mission. Enfin, l’établissement d’un rapport d’état des lieux définissant les recommandations les plus importantes pour améliorer et respecter cette conformité signe la dernière étape”, explique Jocelyn Graul, DPO GHT Plaine de France (Centre hospitalier de Saint-Denis et de l’Hôpital de Gonesse). Le DPO ne porte pas seul la démarche de conformité, elle doit être partagée par tous,  la sensibilisation des équipes est donc un enjeu crucial.