Asip Santé

TIC & Santé

Contexte

L’utilisation de systèmes d’information est désormais un accessoire indispensable à la réalisation de la mission de soins

Pour assurer le bon fonctionnement de l’utilisation du numérique dans le secteur de la santé, il est indispensable de garantir la protection des données de santé à caractère personnel. En effet, ces données sont sensibles car elles ont trait à l’intimité de la personne. 

Les données de santé sont particulièrement exposées, en raison de leur dématérialisation croissante: numérisation, création de documents comportant des données de santé de façon numérique tels que des comptes rendus, ou encore (re)matérialisation des données de santé numérique (présentation des résultats de prélèvements de biologie sous la forme de courbe, impression d’une prescription nativement numérique, etc.).
 
Le système national des données de santé (SNDS), le futur Health data Hub, le développement des dispositifs de télémédecine ou encore la multiplication des objets connectés appliqués à la santé sont autant de nouvelles possibilités d’accéder à la donnée de santé et donc, de l’échanger et de la partager.

Les responsables de traitement (établissements de santé,…) et leurs prestataires (éditeurs de logiciels, hébergeurs,..) doivent par conséquent veiller à garantir un niveau de protection de leurs systèmes d’information adapté aux enjeux et à leurs moyens, dans le respect des exigences juridiques, fonctionnelles et techniques qui leur sont propres.

Cadre juridique du numérique en santé Picto Justice

Le cadre juridique du numérique en santé est complexe. Il repose sur des textes européens transposés en droit interne (Directive relative aux soins transfrontaliers, Directive dite NIS (Network and Information Security), etc.) ou d’application directe. 

Toutefois, malgré leur effet direct en droit interne, les règlements européens font souvent l’objet de dispositions législatives et réglementaires nationales, aux fins d’assurer la coordination avec les dispositions légales en vigueur et, le cas échéant, de mettre à profit les espaces de liberté d’appréciation laissés aux Etats membres pour la mise en œuvre des nouvelles règles européennes.

En outre, le règlement prévoit plus d’une cinquantaine de dispositions laissant des marges de manœuvre aux États membres pour préciser ces dispositions ou prévoir plus de garanties que ce que prévoit le droit européen. Ce qui permet parfois de maintenir des dispositions déjà existantes dans le droit national (par exemple la législation relative à l’hébergement des données de santé dite HDS). 
 

Les lois relatives à la protection des données personnelles

En France, la protection des données de santé numériques repose principalement sur :

  • la loi Informatique et libertés précitée en cours de modification en raison de l’entrée en vigueur du RGPD le 25 mai 2018;
  • le code de la santé publique (télémédecine, INS, secret / équipe de soins / échange et partage des données de santé, hébergement des données de santé, etc.) ;
  • le code de l’action sociale et des familles (les dernières lois de santé dont la loi de 2016 ayant concouru au décloisonnement entre ce secteur et le secteur sanitaire) ;
  • le code de la sécurité sociale (rôle et mission de la CNAM dans la gestion des remboursements des soins dispensés aux assurés, en tant que responsable de traitement du DMP, rôle et missions de la Haute Autorité de Santé, etc.).

Des référentiels et guides complètent ce dispositif juridique, dont relèvent  la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) et le cadre d’interopérabilité relatives à ces mêmes systèmes d’information (CI-SIS).