Retour aux articles

RGPD : quel impact sur les établissements de santé ?

Santé et RGPD
6 min
19.09.19
  • #Santé

Si les établissements de santé planchent depuis un moment déjà autour de la question du RGPD, les mesures concrètes ne se sont pas encore généralisées. Et ce, alors que ces établissements manipulent de nombreuses données sensibles à la fois au format papier et au format papier, et qu’ils sont fréquemment la cible de cyber-attaques. 

Selon le Rapport Annuel Gouvernance 2019 du groupe Serda (1), 46% seulement des établissements hospitaliers ont mis en place des règles de protection des données personnelles. 31% ont simplement engagé le processus et 8% prévoient de le faire. Mais 15% des établissements n'ont toujours rien prévu à ce jour. Pourtant, tous les établissements de santé sont concernés par le RGPD. Le règlement porte, en effet, sur toutes les données personnelles issues des activités de ces établissements, et pas uniquement sur les données de santé générées par la prise en charge des patients.

Deux exceptions

Rappelons que toute opération portant sur des données de santé est définie comme “un traitement de données de santé” et que le RGPD l’interdit, excepté dans deux cas : 

●    si la personne concernée donne son consentement
Le traitement d’une donnée de santé est autorisé à partir du moment où la personne concernée a donné son consentement de manière libre et éclairée. Elle doit par ailleurs être bien informée des objectifs du traitement en question. 

●    dans le cadre des exceptions prévues par le RGPD
Le traitement des données de santé peut être légal malgré l’absence du consentement préalable de la personne concernée quand le traitement est réalisé pour la prévention de la santé publique (par exemple, pour limiter les risques de propagation de certaines maladies), la préservation des intérêts vitaux du patient, une appréciation médicale (médecine préventive, soins, diagnostics), la médecine du travail et la gestion des systèmes et services de santé ou de la protection sociale.

La prise en compte aussi des données papier

Dans son article 4, le règlement définit les données à caractère personnel comme “toute information se rapportant à une personne physique identifiée ou identifiable”. Autrement dit, peu importe la forme de cette donnée personnelle, celle-ci doit être contrôlée. Il faut donc aussi prendre en considération les données papier et ce, qu’il s’agisse du dossier agent (RH) ou du dossier patient. Il convient dans un premier temps de savoir quelles sont les données dont l’établissement dispose. Á quelles fins ? Où se trouvent-elles ? Qui y a accès ? Comment sont-elles gérées et sécurisées ?

Numériser pour structurer les données

Reste qu’il est difficile de répondre concrètement à ces questions dan le cadre de processus papier. Un système de classification et de rangement, aussi détaillé et clair soit-il, peine à répondre aux nouvelles lignes directrices sur la sécurité des données. Pour faciliter l’application du RGPD, la solution réside dans la migration vers des processus numériques. Comment garantir, en continuant à travailler en majorité avec des documents papier, de pouvoir retrouver toutes les données d’une personne ou même de les effacer ? D’autant que l’exactitude des données sur papier n’est pas toujours manifeste. Et comment peut-on garantir que les données à caractère personnel soient conservées aussi longtemps qu’en dispose la réglementation, alors qu’elles sont dispersées dans des classeurs différents et sont exposées à de diverses dégradations ? Seule la numérisation des documents papier permet de répondre à ces questions, et ainsi de de mieux protéger, de gérer et de contrôler plus efficacement les informations. La numérisation est donc la première étape vers la conformité. 

L’outillage nécessaire à la conformité

Cela passe ensuite par le choix du scanner, et plus précisément d’un scanner intelligent, couplé à un logiciel de capture qui viendra alimenter le système de gestion documentaire de l’établissement, et assurera la traçabilité des documents. Les outils de capture vont, en effet, permettre de lire et de traiter les données de façon précise et sécurisée afin de les indexer et les classer au sein d’une GED. Il sera dès lors possible de vérifier quelle information a été consultée, par qui, et à quel moment. Les solutions de GED autorisent également la mise en place des droits d’accès spécifiques aux documents, ce qui permet d’exploiter et contrôler les flux de données tout en conservant la traçabilité et l’historiques des actions. Ce qui répond parfaitement aux exigences de conformité et de sécurité du RGPD. 

Une sécurité à renforcer

Les hôpitaux et les autres organismes médicaux sont, par ailleurs, particulièrement vulnérables aux cybermenaces du fait d’une surface d’attaque qui s’est considérablement élargie. Les secteurs de la santé, des services financiers et gouvernementaux ont été les plus touchés par les cyberattaques en 2018 d'après une enquête de ForgeRock (2) . Près de la moitié (48% ) de toutes les atteintes à la protection des données des consommateurs se sont produites dans le secteur des soins de santé, soit quatre fois plus que dans tout autre secteur. Le nom et l'adresse physique (49%) et les renseignements personnels sur la santé (46%) étaient les deuxième et troisième types d’informations privées les plus souvent compromis en 2018.

Un hôpital mis à l’amende

S’ils veulent mieux gérer les risques liés aux systèmes existants et aux nouvelles technologies qu'ils adoptent, les organismes de santé doivent améliorer la visibilité sur leurs réseaux et les comportements du personnel. Et ce, d’autant qu’en parallèle des cybermenaces, l’activité répressive de la Cnil devrait se renforcer. Rappelons qu’un hôpital portugais s'est vu infliger une amende de 400 000 euros après que ses employés aient utilisé de faux comptes pour accéder aux dossiers des patients. Après une inspection diligentée suite à une alerte émise par l'ordre des médecins, le régulateur a constaté que plusieurs personnels administratifs possédaient des accès réservés aux médecins. En parallèle, il a observé que 985 médecins avaient des habilitations pour accéder au dossier médical des patients, alors que l'établissement ne comprend en réalité que 296 médecins. La délégation du régulateur a créé un compte test et a pu avoir accès à des données patients, montrant une faiblesse dans la gestion des comptes (habilitation, gestion des profils, etc.). L'établissement de santé s'est défendu, mais ses explications n’ont pas convaincu le CNPD qui a reconnu trois infractions au RGPD : violation des principes d'intégrité et de confidentialité des données, violation du principe de limitation d'accès aux données et incapacité pour le responsable du traitement des données à garantir l'intégrité des données. 

La technologie à la rescousse

Les établissements de santé doivent donc mettre en place d’urgence des mesures permettant de garantir en permanence leur sécurité et dans tous les services. La première étape consiste donc à définir une procédure de protection des données, et comme pour les données numériques, à désigner un Délégué à la protection des données (DPO). Le règlement s’applique à l’état actuel de la technologie et exige que les avantages de cette dernière soient mis à la disposition de la protection des données. Plus qu’une contrainte, il est donc important de voir le RGPD aussi comme le moteur de la transformation digitale.

Télécharger Livre Blanc RGPD

(1)RAPPORT ANNUEL GOUVERNANCE 2019  http://www.serda.com/content/rapport-annuel-gouvernance-2019

(2) Enquête ForgeRock

Claire vauléon

Claire Vauléon

Western Marketing Manager

Retour aux articles

Articles similaires

Abonnez-vous à la Newsletter

Chaque mois, des actus à ne pas manquer pour booster vos processus vers la transformation numérique.