Close
  • Français
  • English

05/01/2015[Contribution] Santé rime-t-elle avec sécurité ? [par Benoît LOUVET, Avocat au Barreau de Paris ]

Les systèmes d’information de santé (« SIS ») sont aujourd’hui essentiels au fonctionnement de notre système de santé, allant de la pratique de la médecine à la protection sociale. Ils doivent notamment être disponibles, assurer l’intégrité et la confidentialité des données des patients et permettre professionnels de santé garantir le secret médical. Connectés aux SIS, les dispositifs médicaux doivent quant à eux présenter des garanties de sécurité pour le patient.

C’est donc en toute logique que la sécurité des SIS est un impératif gravé dans la loi. Tout d’abord dans la loi du 6 janvier 1978[1] s’agissant de la protection des données de santé traitées par les SIS (1) ; dans le code de la santé publique (« CSP ») également s’agissant de la confidentialité des informations médicales conservées ou transmises sur les SIS (2), de l’hébergement de données de santé (3), de la sécurité des dispositifs médicaux connectés (4). Nous verrons enfin que la sécurité des SIS fait l’objet d’une politique générale de sécurité des systèmes d’information de santé (PGSSI-S) (5).

 

La protection des données de santé

 

Nul doute qu’un SIS constitue un traitement de données à caractère personnel soumis aux dispositions de la loi du 6 janvier 1978. Les SIS traitent en effet des données de santé à caractère personnel, bien souvent relatives à la santé des patients. S’agissant de leur sécurité, l’article 34 de cette loi de 1978 fait notamment obligation au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données (…). Notons que ce texte s’appliquera avec d’autant plus de rigueur que les données traitées seront des données de santé, considérées par l’article 8 de la loi comme des données sensibles. Leur traitement ne sera autorisé que dans des cas limitativement prévus par la loi, notamment ceux nécessaires à la pratique de la médecine ou de la gestion de services de santé, ou nécessaires à la recherche dans le domaine de la santé.

Les SIS devront donc être sécurisés afin de garantir la protection des données à caractère personnel et en particulier des données santé.

 

La confidentialité des informations médicales

 

Alors que la loi informatique et libertés précitée protège les données de santé, le code de la santé publique vient quant à lui plus spécifiquement garantir le secret médical dû par le professionnel de santé à son patient, notamment lors de l’usage des systèmes d’information de santé. Si ces deux notions se recoupent souvent sur le terrain, elles ne se confondent pas. Le code de la santé publique formule ainsi une obligation de confidentialité concernant les informations médicales conservées sur support informatique ou transmises par voie électronique[2].

Ce texte impose pour l’essentiel :

  • le respect de référentiels, notamment de sécurité, définis par arrêtés ministériels (cf. infra), et
  • l’authentification des professionnels de santé accédant à ces informations médicales à l’aide de la Carte de Professionnel de Santé (CPS) ou d’un dispositif équivalent agréé.

 

L’hébergement des données de santé

 

Au croisement de la protection des données de santé à caractère personnel et du secret médical abordé plus haut, se trouvent les dispositions, toujours au sein du code de la santé publique, concernant l’hébergement de données de santé à caractère personnel. La loi vient soumet en effet à l’agrément du ministre chargé de la santé l’activité d’hébergement de données de santé à caractère personnel[3]. L’externalisation par les établissements et les professionnels de santé de tout ou partie de leur système d’information est en effet de plus en plus fréquent. La loi vient ici aussi imposer à l’hébergeur recevant les données de santé, une politique de sécurité particulièrement rigoureuse[4].

Ces exigences en matière d’hébergement sécurisé des données de santé font aujourd’hui de la France l’un des pays, si ce n’est le pays ayant les standards les élevés en la matière en Europe et dans le monde.

 

La sécurité des dispositifs médicaux connectés

 

Parfois désignés dispositifs de mSanté ou de santé mobile, les dispositifs médicaux sont de plus en plus connectés notamment aux systèmes d’information hospitaliers et médicaux.

Précisons qu’un dispositif médical est suivant le code de la santé publique[5] : « (…) tout instrument, appareil, équipement (…) destiné par le fabricant à être utilisé chez l’homme à des fins médicales (…). Il est important d’avoir à l’esprit que le dispositif médical inclus les logiciels qu’il contient mais également qu’un logiciel peut-être par lui seul qualifié de dispositif médical lorsqu’il poursuit la finalité médicale déjà mentionnée.

La loi soumet les dispositifs médicaux notamment de l’obligation de marquage CE lequel certifie (par le fabriquant ou par un tiers certificateur selon le cas) que le dispositif (et le logiciel qui le constitue tout ou en partie) est conforme aux exigences essentielles décrites dans les directives européennes applicables[6]. Il ne s’agit pas ici de protéger les données des utilisateurs, mais de garantir la sécurité physique du patient.

Notons enfin que la connexion d’un dispositif médical à un système d’information de santé (SIS) devra respecter les principes de la politique générale de sécurité des systèmes d’information de santé[7] et les recommandations de son Guide pratique – règles pour les dispositifs connectés à un Système d’Information de Santé[8].

 

La politique générale de sécurité des systèmes d’information de santé (PGSSI-S)

 

Si la sécurité des systèmes d’information de santé procède de la loi, mentionnons qu’elle fait également l’objet d’une politique générale de sécurité des systèmes d’information de santé.

Élaborée par l’Etat en concertation avec les acteurs du secteur de la santé, la PGSSI-S fixe les grandes orientations en matière de sécurité. Elle décline également des référentiels techniques ayant vocation à devenir opposables ainsi que des guides pratiques et juridiques[9].

 

Benoît Louvet,
Avocat au barreau de Paris.

_______

[1] Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[2] Article L.1110-4 et R.1110-1 à R.1110-3 du code de la santé publique

[3] Article L.1111-8 du code de la santé publique (extrait) : « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet ».

[4] Article R.1111-9 à R.1111-16 du code de la santé publique (issues du décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel (…).

[5] Article L.5211-1 du code de la santé publique

[6] Notamment la directive 90/385/CEE relative à la mise sur le marché des dispositifs médicaux implantables actifs et la directive 93/42/CEE relative à la mise sur le marché des dispositifs médicaux

[7] Cf infra (5)

[8] Disponible sur le site de l’ASIP Santé (www.esante.gouv.fr)

[9] Ces référentiels et guides sont disponibles sur le site de l’ASIP Santé (www.esante.gouv.fr)