Vous êtes obligés de protéger vos données
L’un des facteurs d’intérêt pour les pirates informatiques est la richesse des données médicales contenues dans les ordinateurs des professionnels de santé : données personnelles, numéros de Sécurité sociale, antécédents de santé… Ces données peuvent “valoir de l’or” et être vendues sur le “marché noir du web”, le dark web. Le règlement général sur la protection des données (RGPD) vous oblige à les protéger. Son application favorise la cybersécurité.
Le RGPD oblige à protéger
les données personnelles
La prise en charge d’un patient engendre le traitement de données à caractère personnel et médical. À ce titre, un certain nombre d’obligations réglementaires sont imposées aux professionnels de santé qui traitent, consultent, utilisent, conservent, ou encore communiquent à d’autres professionnels ces informations. Le Règlement général sur la protection des données, appelé couramment RGPD, est le texte de référence en matière d’application de la protection des données personnelles depuis 2018. Son objectif est la sécurisation des données personnelles traitées et collectées au quotidien, au-delà même de leur sécurisation contre la cyberattaque. Pour rappel, les données concernant la santé sont définies par le RGPD comme “les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne”.
Vous devez prendre toutes les précautions utiles pour empêcher que des tiers non autorisés aient accès aux données de santé*.
Désigner un délégué à la protection des données
Si vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de désigner un délégué à la protection des données (DPO). Toutefois, si votre activité vous amène à traiter des données de santé au sein d’un réseau de professionnels, en maisons de santé, centre de santé, ou à partager des dossiers entre plusieurs professionnels de santé, vous devez désigner un DPO en interne, ou solliciter les services d’un DPO externe. Sa principale mission est de veiller au respect du RGPD.
Une sanction en cas de piratage
En cas de piratage des données de vos patients, (perdues, altérées, divulguées à une personne non autorisée) et susceptible de présenter un risque pour leurs droits et liberté, vous êtes tenus de les informer et de le notifier à la CNIL dans un délai de 72 heures sur le site : www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles. En cas de non-respect de cette obligation, un professionnel de santé s’expose à des sanctions pouvant lui coûter de 3 000 euros à 4 % de son chiffre d’affaires.
Stocker les données
chez un prestataire agréé
En France, les acteurs de santé ont l’obligation de confier le stockage de leurs données de santé à un prestataire agréé HDS (Hébergeur de Données de Santé) pour garantir la traçabilité, l’intégrité, la confidentialité et la disponibilité des données des patients. Cette obligation figure dans le RGPD, avec la nécessité de garantir un niveau de sécurité adapté au risque numérique encouru. Par cette mesure, le RGPD vous impose d’apprécier et de traiter les risques. Il exige notamment la mise en oeuvre de process appropriés, comme le chiffrement des données.
Les hébergeurs de données
de santé pas toujours fiables
Les prestataires de service qui agissent pour votre compte, que ce soit une plateforme de prise de rendez-vous en ligne ou une permanence téléphonique doivent vous garantir une protection de vos données conforme au respect de vos obligations en matière de sécurité des systèmes d’information et de protection des données à caractère personnel. Il vous incombe de vous assurer que ces fournisseurs réalisent leurs prestations de service en conformité avec le RGPD. Ça n’est pas toujours le cas ! Il est de votre devoir de vérifier un certain nombre de points afin de s’assurer que chacun de vos fournisseurs de service informatique prend en compte les problématiques de sécurité inhérents aux données de santé. Pour vous aider, l’Agence du numérique en santé (ANS) a élaboré quatre questionnaires à soumettre à vos prestataires ; de la fourniture de service informatique, à l’installation et la maintenance, au stockage de données à distance ou en téléservice. Ils sont à retrouver sur https://esante.gouv.fr/sites/default/files/media_entity/documents/PGSSI_S-Guide_Orga-Memento_PS_Exercice_Liberal-Annexe_1-Questionnaires_fournisseurs-V2.0.pdf
Afin d’assurer la protection des données de vos patients, vous êtes tenus de mettre en œuvre des mesures garantissant la sécurité de ces données sensibles.
- Retrouver la liste des hébergeurs agrées par le ministère de la santé répertoriés à ce jour sur le site de l’ANS : https://esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-agrees
- Le site de la CNIL propose un guide pratique afin d'accompagner les professionnels dans la mise en œuvre des obligations prévues par la nouvelle réglementation sur la protection des données personnelles www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf
* recommandation issue du guide pratique sur la protection des données, juin 2018, élaboré par l’Ordre national des médecins et la CNIL.
Une séance à ne pas manquer au Congrès !
Éviter une cyberattaque, c’est possible ! Connaissez-vous l’essentiel des règles d’or d’hygiène informatique pour protéger votre cabinet dentaire d’une cyberattaque ? En participant à la séance dédiée lors du Congrès de l’ADF 2024, vous connaitrez les mesures de prévention ou comment réagir en cas d’attaque. Chirurgien-dentiste, assistant(e) dentaire, rendez-vous le vendredi 29 novembre 2024 à 11h. En savoir plus sur adfcongres.com