Par définition, une donnée à caractère personnel est “toute information se rapportant à une personne physique identifiée ou identifiable”. Parmi elles, certaines sont considérées comme sensibles, comme par exemple les données de santé. La sécurité des ces dernières est un enjeu majeur du développement de solutions logicielles dans le secteur médical.

Données de santé : de quelles données parle-t-on ? 

D’après la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité administrative chargée de veiller à la protection des données personnelles, les données de santé sont définies comme “Les données à caractère personnel relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne” (1).

Entrent ainsi dans le champs des données de santé : les données qui le sont par nature (par exemple : état de santé, antécédents médicaux, prestations de soins réalisés, …), celles qui lorsqu’elles sont mises en relations avec d’autres données donnent des indications sur l’état de santé (par exemple : le poids et la taille) et enfin celles qui le deviennent en raison de leur finalité médicale.

Les acteurs concernés par la collecte de données de santé sont nombreux et très variés : les professionnels libéraux, les cabinets médicaux et paramédicaux, les officines, les établissements de santé, les fabricants de dispositifs médicaux, les éditeurs de logiciels médicaux, …

Ces données, qui s’avèrent sensibles, se voient alors appliquer un régime juridique particulier : elles sont protégées par plusieurs mesures comme par exemple la loi Informatique et Liberté, le Règlement Général sur la Protection des Données (Règlement UE 2016/679 appelé “RGPD”) ou encore le Code de la santé publique.

Zoom sur le traitement des données de santé

Est considéré comme un traitement de données personnelles “toute opération portant sur des données personnelles, quel que soit le procédé utilisé” (2). Cette définition englobe l’enregistrement, la modification, la transmission, etc.

Les données personnelles peuvent être traitées, mais selon certaines conditions. Pour les données sensibles comme les données de santé, il est en revanche  interdit de traiter ces données. Pour pouvoir le faire, il est alors nécessaire de justifier d’une exception parmi celles figurant à l’article 9.2 du RGPD et une étude d’impact s’avèrera nécessaire.

Quelques exemples : 

Avoir obtenu le consentement explicite de l’individu, utiliser des données rendues publiques par ce dernier, sauvegarder les intérêts vitaux de la personne, …

Le contexte actuel de la sécurité des données 

Bien que la collecte et l’utilisation des données de santé soient clés pour assurer la continuité des parcours de soins et une bonne coordination de la prise en charge des patients, elles soulèvent des inquiétudes auprès du grand public. Ces dernières concernent l’usage qu’il est fait de leurs informations, mais aussi et surtout leur confidentialité. 

Et ces craintes ne sont pas infondées, comme en témoignent diverses fuites de données ayant ébranlé le domaine de la santé ces dernières années. On relève les exemples de :

• L’attaque informatique qui a touché l’AP-HP à Paris durant l’été 2021 : un vol de fichiers contenant des données nominatives (identité, numéro de sécurité sociale et les coordonnées des personnes testées …) d’environ 1,4 million de personnes ayant réalisé un test de dépistage de Covid-19 (3).
• L’infiltration de personnes non autorisées à des comptes professionnels de l’Assurance Maladie en mars 2022, dérobant ainsi les données personnelles administratives (d’identité, de droits et de contact) d’environ 500 000 assurés (4).

Comme l’explique Baptiste Durand-Bret, RSSI et Lead DevOps chez Synapse Medicine, “La sécurité des données est un sujet de préoccupation au sens global pour chaque personne, chaque citoyen. D’une part, parce que l’on se rend compte que nous mettons de plus en plus de parts de notre vie dans le Cloud, que ce soit des données de santé ou des données personnelles. D’autre-part, les expériences récentes ont montré que ce sont des données qui sont monnayables, et que des individus malveillants pourraient essayer de les accaparer à diverses fins, globalement criminelles. Finalement, il y a aussi un phénomène qui tend à être largement répandu : les intérêts que pourraient avoir les États sur une potentielle  cyber-guerre. Là aussi, c’est un levier que de pouvoir garantir la sécurité des citoyens vis à vis de menaces géopolitiques globales. “

Pour assurer une sécurité optimale des données de santé et pallier les risques potentiels de fuite, il apparaît alors nécessaire d’une part de responsabiliser des acteurs du secteur de la santé (tous types confondus) impliqués dans le traitement de données de santé, mais également de mettre en place un cadre de bonnes pratiques. 

Les bonnes pratiques pour assurer une sécurité optimale des données de santé

Avant de penser et définir un cadre moral et réglementaire, il est essentiel de se recentrer sur les droits fondamentaux des personnes s’agissant des données concernant leur santé.

Zoom sur les droits des personnes en matière de données de santé

Le Règlement Général sur la Protection des Données (RGPD) prévoit des obligations concernant les données personnelles et notamment concernant les données de santé (5). Il précise  en effet que les personnes dont les données de santé sont collectées disposent de droits : elles doivent être informées par le responsable de traitement, et ont le droit à tout moment d’accéder et rectifier ces données, mais aussi de s’opposer et demander à ce qu’elles soient limitées ou effacées (2).

Ainsi, pour respecter ces droits et garantir la sécurité des données, il s’avère primordial de mettre en place des bonnes pratiques dans ce domaine. On retrouve par exemple les règles d’or de la conformité des données à caractère personnel d’après la CNIL (2) qui sont :

• Licéité, loyauté et transparence du traitement
• Finalité déterminée,explicite et légitime
• Minimisation des données
• Exactitude des données collectées
• Durée de conservation limitée
• Intégrité 
• Confidentialité 
• Disponibilité
• Respect des droits des personnes

Pour accompagner les acteurs responsables de traitements de données de santé dans la mise en place de cette démarche, la CNIL a également publié des référentiels auxquels ces derniers peuvent se référer pour ce qui touche à la gestion des traitements et le choix de durées de conservation. 

Concernant l’hébergement de ces données de santé, la sécurité est également au cœur des préoccupations des autorités de santé. En effet, les sociétés d’hébergement de ce type données sont soumises, de façon analogue à celle fabricant des dispositifs médicaux, à une certification propre prévue par le décret n°2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel. Pour l’obtenir, l’hébergeur doit se conformer à un référentiel établi par l’ASIP Santé et répondre aux exigences de plusieurs normes de qualité (ISO 27001 ou ISO 20000). Elle est délivrée par le COFRAC (Comité Français d'Accréditation) et est obtenue pour une durée de 3 ans après plusieurs audits (6). Cette certification a ainsi pour objectif de garantir la sécurité des données des patients et joue un rôle clé dans le choix des éditeurs de logiciels souhaitant héberger les données de santé qu’ils traitent.

La réglementation européenne qui encadre les dispositifs médicaux entre également en jeu en matière de protection des données de santé. En effet, les logiciels médicaux, traitant des données de santé, sont effectivement concernés puisqu'ils peuvent être considérés comme des dispositifs médicaux, et ce qu’ils fonctionnent seuls ou en association avec un dispositif médical. En particulier, la dernière version des exigences liées aux dispositifs médicaux décrite dans le règlement 2017/745 et applicable depuis mai 2021 implique pour les éditeurs de logiciels dispositifs médicaux de répondre à des exigences renforcées en matière de cybersécurité. Parmi elles réside l'obligation de déployer au cours de la conception du logiciel diverses mesures telles qu’une analyse des risques (dans le but d’évaluer les menaces, leurs impacts et la vulnérabilité du logiciel), la mise en place d’un système de gestion de ces risques et des contrôles de sécurité (7).

La sécurité des données de santé représente donc un challenge de taille pour les éditeurs de logiciels du secteur qui doivent intégrer ces problématiques dans leur conception pour proposer aux établissements de santé des solutions numériques en conformité avec les normes et recommandations en matière de sécurité des données.

Ce qu’il faut retenir 

Les données de santé sont des données personnelles particulièrement sensibles et sont pourtant collectées et traitées par de nombreux acteurs très différents du système de santé. Elles sont également sujettes à des attaques, et requièrent ainsi une attention particulière en matière de sécurité. Pour poser un cadre à leur utilisation et garantir une protection optimale, des bonnes pratiques, référentiels et certifications sont mis en place par différentes instances. La conformité à ces diverses mesures représente un challenge pour les éditeurs de logiciels qui doivent s’y conformer pour garantir la qualité de leurs solutions à leurs utilisateurs.

Sources :

(1) CNIL. Qu’est-ce qu’une donnée de santé ?

(2) Véronique CABANES, Manon de FALLOIS - Service de la santé de la CNIL. La protection des données de santé.

(3) AP-HP. Communiqué de presse - L’AP-HP porte plainte suite à une attaque informatique sur son service sécurisé de partage de fichiers. 15/09/21.

(4) Assurance Maladie. Données dérobées : l’Assurance Maladie met en garde ses assurés. 21/03/22.

(5) CNIL. Traitement de données de santé : comment informer les personnes concernées ? 04/04/2018.

(6) Agence du numérique en santé. Certification des hébergeurs de données de santé.

(7) Agence nationale de Sécurité du médicaments et des produits de santé. Cybersécurité des DM et DMDIV. Publié le 21/09/2022. Mise à jour le 23/09/2022.