Toutes les organisations qui traitent des données personnelles sont face à cette date butoir du 25 mai 2018 pour se mettre en conformité. Pour s’aligner, les GAFAM et autres géants du net ont fait évoluer depuis quelques mois leur CGU et invitent ainsi leurs utilisateurs à les accepter. L’impact de ce nouveau règlement européen accroit la responsabilité des acteurs du numérique pour assurer une protection optimale des données. Ceux-ci devront être en mesure de le démontrer de façon pérenne, le tout en documentant leur conformité. En lien avec les autres autorités de protection des données personnelles et les contrôles de la CNIL, les sanctions prononcées seront ainsi renforcées.
Cette nouvelle législation impacte directement le secteur de la santé. Étant producteur de données à caractère personnel (gestion des personnels, fichier de contacts, etc.) et également de données de santé, l’ensemble des acteurs, professionnels de santé, institutions, éditeurs… sont conscients des effets. Si l’arrivée du RGPD continue des créer un sentiment d’inquiétude au sein de notre système de santé, est-ce vraiment justifié ? Comment mettre en avant les réelles opportunités que représente le RGPD pour notre secteur ?
Et pourtant, nous ne sommes pas en retard. L’ADN français se caractérise notamment par une grande prudence vis-à-vis des données personnelles. C’est précisément cet ADN qui a présidé à la création de la CNIL. Il est aujourd’hui encore très vivace dans l’opinion, puisque 85 % des Français se disent préoccupés par la protection de leurs données personnelles. Notre pays est bien au-delà d’une « simple » prise de conscience. Les excuses récentes de Mark Zuckerberg devant le Parlement Européen attestent de la prise de conscience des leaders mondiaux du numérique sur la nécessité de protéger les citoyens. Et oui, Facebook ne peut pas tout faire avec les données de ses utilisateurs !
Dans le domaine de la santé, les acteurs sont par nature imprégnés de la culture de la confidentialité. Qu’il s’agisse du serment d’Hippocrate pour les médecins ou plus largement de la protection de l’intimité, la préservation de la confidentialité des informations nécessaires à la prise en charge d’un patient constitue un prérequis inhérent à la relation entre professionnels et patients, fondamentalement basée sur le secret. Aussi, la prise en compte de la « haute sensibilité des données de santé » dès la création des traitements de données personnelle ne devrait pas être un obstacle avec l’arrivée du RGPD. En revanche, la mise en œuvre des mesures de sécurité adaptées soulève – et souvent de façon légitime – des interrogations.
Une des premières questions soulevées réside dans la mobilisation des ressources nécessaires à la mise en place du RGPD. Par exemple, comment les établissements de santé qui n’avaient pas toujours un CIL (Correspondant Informatique et Libertés), pourront-ils demain être en capacité de nommer un DPO (Data Protection Officer) ? Comment trouver les ressources pour établir et surtout maintenir à jour le registre de tous les traitements de données personnelles? Et que dire de la concrétisation du droit à l’oubli et de la portabilité des données ?… Autre sujet majeur : comment adapter les contenus de la relation de sous-traitance aux nouvelles exigences du RGPD ? Car l’ensemble des contrats devront désormais expliciter la responsabilité en matière de protection des données parmi différents acteurs tels que l’agence régionale de santé (ARS), le groupement régional d’appui à la e-santé (GRADeS), les fournisseurs de soins, les intervenants du secteur social et médico-social, et les acteurs en charge de la coordination de toutes les actions de ces professionnels (PTA, PAERPA, etc.). On peut se réjouir que la conformité à cette nouvelle législation élève le niveau de protection des systèmes d’information de santé. Le temps et l’accompagnement des acteurs en santé restent des alliés pour qu’ils s’approprient ces nouvelles règles.
L’écosystème s’organise et positionne progressivement le RGPD comme l’un des centres de gravité de l’espace de confiance numérique. Les grands projets nationaux comme l’espace de confiance MSSanté, le DMP ou le portail de signalement des évènements sanitaires indésirables intègrent d’ores et déjà ces questions de sécurité et de protection des données . Il est important de fixer au niveau national des référentiels sur les niveaux de sécurité des systèmes d’information de santé. Ceux-ci sont notamment formalisés dans des référentiels de sécurité et d’interopérabilité propres aux systèmes d’information mais aussi au travers de procédures permettant d’avoir confiance dans des services numériques tels que la procédure de labellisation des logiciels pour les maisons et centres de santé (Label Esanté) ou la procédure de certification des hébergeurs de données de santé (HDS). En lien avec la CNIL .
Alors, démystifions le RGPD… Il faut le considérer comme une démarche progressive vers la confiance dans le numérique en santé. Si la finalité est partagée, ce sont les moyens de renforcer la sécurité qui doivent faire l’objet d’un consensus dynamique. Au sein de cette accélération, l’ASIP Santé continue d’installer la confiance et l’équilibre entre l’émulation créative et la sécurité des données de santé.
Florence Eon
Directrice juridique de l’ASIP Santé
Le 25 mai 2018