Les données personnelles de santé sont des informations sensibles. Leur hébergement devant être réalisé dans des conditions de sécurité adaptées à leur criticité, les organisations traitant des données de santé doivent faire appel à un organisme tiers certifié « Hébergeur de Données de Santé » (HDS).
Les données de santé sont des informations très sensibles et critiques pour le fonctionnement des établissements dans le secteur médical. Elles sont donc des cibles de choix pour les cyberattaquants, car plus rémunératrices que de simples données personnelles. Par exemple, pour communiquer avec d’autres établissements et organismes de santé sur l’avancée d’un dossier, le personnel doit régulièrement utiliser sa messagerie. Si un hacker venait à s’emparer de données confidentielles, dans le but de les rendre publiques ou de les revendre cela pourrait être dramatique pour l’établissement et son bon fonctionnement : divulgations d’informations personnelles sur les patients, perte d’informations…
Si les hôpitaux et plus généralement les acteurs de la santé sont dans le viseur des cybercriminels, c’est parce qu’ils combinent plusieurs faiblesses : des systèmes informatiques hétérogènes et vieillissants, des logiciels pas forcément mis à jour, parfois une faible sensibilisation du personnel à des précautions en ligne et bien sûr, souvent, une urgence à vouloir rétablir la situation.
La crise sanitaire a en effet accéléré le télétravail et les consultations à distance, plus ou moins bien sécurisées, des dossiers médicaux. Si ces pratiques ont permis d’éviter la paralysie d’un service, elles ont augmenté la surface d’attaque des Systèmes d’Information (SI) de ces établissements.
Dans certains cas, des professionnels de santé se sont débrouillés par eux-mêmes. Ils utilisent des outils qu’ils connaissaient bien, mais qui ne sont ni contrôlés par leur DSI ni en accord avec la réglementation en vigueur. Quel praticien n’a jamais envoyé des données sensibles avec sa messagerie Gmail ou WeTransfer ? C’est le fameux phénomène du Shadow IT, propice aux fuites de données !
Or, les établissements de santé ne sont pas des entreprises comme les autres. Du fait des informations sensibles qu’ils traitent en permanence, ils se doivent de respecter différents référentiels et réglementations comme le RGPD et la Directive NIS au niveau européen, le code de la santé publique, l’instruction interministérielle française n° 901 (relative à la protection des systèmes d’information sensibles) …
Chiffrement, traçabilité, réversibilité…
L’article L.1111-8 du code de la santé publique relatif à l’hébergement de données de santé a pour objectif d’organiser et d’encadrer la conservation et la restitution de ces données à caractère personnel, dans des conditions propres à garantir leur confidentialité et leur sécurité.
Mais ces différentes obligations réglementaires ne sont pas toujours simples à maîtriser et donc à appliquer, surtout qu’elles présentent des subtilités récentes.
C’est le cas pour le stockage des données de santé. Les hébergeurs de ces données sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés (HDS - Hébergeurs de Données de Santé). Cette certification remplace, depuis fin 2019, l’agrément.
Par contre, si un établissement du domaine médical décide de stocker en interne ses données, il n’est pas tenu d’être certifié HDS, selon le décret du 26 février 2018. Ce qui n’exclut pas de respecter une obligation de sécurité de telles données (article 32 du RGPD).
Mais tous les acteurs de la santé disposent-ils de moyens en interne pour assurer correctement la protection de ce type de données ? Faire appel à un tiers certifié HDS offre plus de garanties : chiffrement des données et des flux, traçabilité, réversibilité… Ce tiers sous-traitant prend en charge la sécurité des données, qui sont ainsi placées sous sa responsabilité.
« Étant certifié HDS, NetExplorer est habilité à stocker et à traiter des données de santé à caractère personnel. Notre structure recouvre la totalité des activités pour lesquelles un hébergeur peut être certifié, allant de la mise à disposition et au maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé, jusqu’à leur sauvegarde. »
En centralisant l'ensemble de ces fichiers sur une seule et unique plateforme certifiée HDS, un établissement de santé optimise les échanges entre ses services. Il est possible d’envoyer des radiographies, des comptes rendus d’examens de patients ou des dossiers médicaux en toute sécurité puisque les droits d'accès des utilisateurs sont attribués par dossier. Cela s’avère utile à 3 niveaux : les patients accèdent à leur dossier n’importe où et n’importe quand. Les employés des différents services de l’établissement peuvent échanger facilement sur ces dossiers, même depuis chez eux. Enfin d’autres établissements de santé pourront collaborer sur un dossier médical en tout sécurité.
Cet exemple est l’occasion de rappeler que toute la « chaîne » doit être certifiée HDS pour respecter la réglementation concernant les données de santé. Par exemple, si un tiers non HDS propose d’héberger les données de santé sur un serveur externe certifié HDS, le montage proposé ne respecte par la réglementation, car un maillon de la « chaîne » n’est pas HDS.
Par ailleurs, faire appel à une organisation tiers certifiée HDS permet de bénéficier d’un accompagnement personnalisé permettant de renforcer son niveau de sécurité en profitant de l’expertise “sécuritaire” du prestataire.
Par Bertrand SERVARY, Directeur général fondateur Chez NetExplorer
