La CNIL publie un projet de recommandations pour les établissements de santé

Le 20 mars dernier, la CNIL a lancé une consultation publique sur un projet de recommandation à destination des établissements de santé.

_{La cybersécurité : un enjeu majeur pour les établissements de sante}

Dans un contexte de multiplication des risques cyber en milieu hospitalier - les notifications de violation de données personnelles par les centres hospitaliers étant passées de 16 en 2018 à 196 en 2024 -, cette dernière a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI).

Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu’au 16 mai 2025. Ce projet s’adresse tant aux DPO qu’aux responsables de systèmes d’information (DSI, RSSI) et aux directions générales des établissements de santé publics ou privés. A noter cependant qu’à ce stade, la recommandation ne couvre pas les modalités d’exercice des droits des personnes concernées par un DPI, lesquelles feront l’objet de travaux ultérieurs.

_{Vers un référentiel de sécurité opérationnelle} 

Intégré dans un Système d’Information Hospitalier (SIH), le Dossier Patient Informatisé (DPI) est un logiciel qui a vocation à stocker l’ensemble des documents liés au parcours de soins du patient au sein de l’établissement. La sécurité de ce type de logiciel est d’autant plus importante en raison de la sensibilité des données de santé traitées et de leur volume.

_{Quelles sont les mesures de cyber-sécurité à appliquer dans les établissements de santé ?}

Organisé en 14 fiches illustrées d’exemples concrets, le projet regroupe des mesures générales de sécurité (chiffrement des données, tests réguliers des sauvegardes, suivi journalier des accès, etc.) et d’autres plus spécifiques comme le cloisonnement réseau séparant strictement les flux réseaux propres au DPI. Le Numéro de sécurité sociale (NIR) et l’Identifiant national de santé (INS) constituent également, par leur nature et leur usage, des identifiants qui doivent faire l’objet d’une protection renforcée, en particulier des habilitations d’accès spécifiques et une traçabilité renforcée. Ils pourraient faire l’objet d’un chiffrement spécifique au sein de la base administrative, avec une clé dédiée différente de celle de la base administrative.

_{Protection des données personnelles d'un patient : seuls les membres de son équipe de soins doivent y accèder}

Aussi, conformément au respect du secret professionnel (article L110-4 du code de la santé publique), les données à caractère personnel d’un patient doivent être uniquement accessibles aux membres de son équipe de soins. En ce sens, une politique de gestion des habilitations doit être définie et mise en œuvre, les personnes autorisées à accéder au logiciel DPI devant être individuellement habilitées.

Ce contrôle des accès doit également s’accompagner d’une authentification multi-facteur (MFA) conforme aux référentiels d’identification de la Politique générale de sécurité des systèmes d’information en santé (PGSSI-S).

Conformément à l’article 28 du RGPD, le projet de recommandation met également l’accent sur la nécessité d’un encadrement contractuel strict des prestataires (éditeurs de logiciels, hébergeurs, etc.), lequel passe notamment par le détail de la répartition des obligations en matière de sécurité et la précision de conditions de fin de contrat et de réversibilité soutenables.

_{L’hébergement des données de santé : de nouvelles exigences}

Dès lors que le responsable de traitement a recours aux services d’un tiers pour l'hébergement, le stockage ou la conservation des données de santé collectées pendant la prise en charge de la personne, ce tiers devra être un hébergeur de données de santé certifié conformément aux dispositions du Code de la santé publique.

En outre, la CNIL souligne trois nouvelles exigences apportées par le référentiel de la certification HDS de 2024, lesquelles sont :

• L’hébergement exclusivement sur le territoire européen ;
• L’encadrement des accès à distance depuis l’extérieur du territoire européen ;
• Transparence sur les risques associés aux législations extra-européennes auxquelles seraient soumis l’hébergeur.

La CNIL précise par ailleurs que ces éléments doivent être pris en compte à l’occasion du renouvellement du certificat d’un hébergeur du DPI, ainsi qu’au moment de la reconduction de son contrat ou du choix d’un nouvel hébergeur.

Pour de plus amples informations, le projet de recommandation est à retrouver ici.

_{Les offres RGPD / DPO d'Altij & Oratio Avocats : Un accompagnement sur mesure des établissements de santé}

Fort de son expertise en droit du numérique, Altij & Oratio Avocats propose des services spécialisés pour accompagner les établissements de santé dans la mise en conformité de leur DPI (analyses de risques, audit de sécurité, conformité PGSSI-S) et les éditeurs, hébergeurs ou intégrateurs dans la rédaction de contrats conformes au RGPD, au Code de la santé publique et au référentiel HDS.

En tant que DPO (Délégué à la Protection des Données) externalisé, Altij & Oratio Avocats offre un accompagnement complet pour garantir la conformité de vos activités aux exigences du RGPD.

_{Formations Trust by Design : Se préparer aux enjeux futurs de la cybersécurité}

Pour anticiper les évolutions réglementaires et comprendre les nouveaux enjeux en matière de cybersécurité, Trust by Design propose des formations adaptées aux entreprises souhaitant renforcer leur stratégie de gestion des risques. Ces formations permettent aux participants de mieux appréhender les défis liés à la sécurité numérique, d'identifier les risques potentiels et de connaître les réglementations spécifiques à leur secteur d'activité.

Pour en savoir plus sur les formations et leur programme, rendez-vous ici