Comment sécuriser la sauvegarde des données patients

Par

Publié le 07/04/2022

Article réservé aux abonnés

Les pharmaciens traitent quotidiennement les données de santé à caractère personnel de leurs patients. Avec l'évolution des technologies et la prédominance du numérique, comment protéger ces données ?

1. Une préoccupation grandissante

Les fuites de données de santé sont devenues fréquentes. En 2021, le centre hospitalier de Villefranche-sur-Saône avait été victime d'une cyberattaque. On se souvient également de la fuite des données de santé de 1,4 million de personnes relatives aux tests contre le Covid, ou même le piratage des dossiers médicaux de 500 000 patients en France, qui avaient été publiés sur Internet, ainsi que des failles de sécurité au sein de France-Test. Les données de santé sont sensibles, et comprennent des informations extrêmement personnelles (adresse, âge, maladies, traitements suivis…). Et les professionnels de santé ne sont pas à l'abri : des milliers de faux passes sanitaires ont été créés après le piratage et le vol de données concernant les pharmaciens et les médecins eux-mêmes. Face à l'accélération de la numérisation de la santé, le rythme de ces attaques sera toujours plus croissant.

2. Obligation de protection, mais aussi d'information.

Ces données de santé, qu'elles soient conservées sous forme numérique ou matérielle relèvent de la vie privée. Le pharmacien est donc, en vertu du secret professionnel, sous la responsabilité de leur traitement mais aussi de leur protection. Il doit informer les personnes concernées de l'utilisation de leurs données, conformément au règlement général sur la protection des données personnelles (RGPD), entré en vigueur le 25 mai 2018. Si les pharmaciens d'officine n'ont plus à effectuer de déclaration NS-052 auprès de la Commission nationale de l'informatique et des libertés (CNIL), ils se doivent d'être en mesure de prouver leur respect des principes de protection des données. Cette preuve passe entre autres par la création et le maintien d'un registre recensant tous les traitements de données effectués au sein de l'officine (finalités du traitement, personnes concernées, destinataires, transferts de données, etc.). C'est l'article 30 du RGPD qui prévoit la création de ce registre.

3. Comment sécuriser les données et les bons réflexes à adopter

Pour s'assurer de la confidentialité de ces données les pharmaciens doivent avant tout garantir la sécurité de leur stockage, de l’accès aux postes informatiques, de leur consultation, mais aussi de leur protection lors d’échanges ou d’externalisations. Ces garanties passent par des actions en apparence simples, voire banales, mais à l'impact certain : établir des codes d’accès complexes pour utiliser les postes informatiques, archiver les données proprement (notamment lors du renouvellement de la structure informatique de l'officine) et former l'équipe aux bons réflexes à adopter pour protéger les données (sites sensibles, accès aux mots de passe, ne pas laisser traîner les copies d'ordonnances, utiliser un broyeur papier pour leur destruction…). Que ce soit en cas d'incident ou de piratage, sauvegarder les données sur plusieurs supports sécurisés différents, qu'ils soient physiques ou cloud, est un premier pas. Dans le cadre de la transmission de ces données, il est aussi du devoir du pharmacien d'utiliser un service de messagerie sécurisé de santé conforme aux exigences de la loi. C’est-à-dire, avec un système d'authentification forte (CPS ou dispositif équivalent) et d'un numéro RPPS. Enfin, si les officines ne sont pas obligées de former et nommer un délégué à la protection des données (DPO), ce dernier apporte une plus-value considérable à la pharmacie dans ce domaine. Plus de détails sont consultables au sein du principe 34 et du mémo numéro 20 de la démarche qualité officine, sur le site de l'Ordre.

4. Quel prestataire choisir ?

Pour sécuriser leurs données, un certain nombre d'entreprises font appel à des prestataires. En effet, des logiciels (gratuits ou payants) existent pour programmer, automatiser et vérifier régulièrement la sauvegarde des données. Se tourner vers les hébergeurs de données de santé est également une possibilité. Certains sont agréés HADS (hébergeur agréé de données de santé), tandis que d'autres sont certifiés HDS (hébergeur de données de santé) qui, si elle n'invalide pas l'agrément HADS, est la norme la plus récente, avec les critères les plus exigeants, et donc la plus sécurisée. La liste des hébergeurs agréés HADS et/ou HDS est trouvable sur le portail gouvernemental de l’e santé. Notez que s'il est possible de choisir un prestataire étranger, mieux vaut prendre un français. C'est la garantie de suivre les mêmes lois et d'accéder aux informations plus rapidement et plus facilement, grâce à une langue et des horaires communs.

5. Que risque-t-on en cas d’exploitation ?

Un pharmacien qui ne garantit pas la confidentialité et la sécurité des données qu’il recueille, par interception ou lecture de personnes non autorisées, ou s’il en détourne la finalité, s'expose à un risque de sanctions disciplinaires et pénales lourdes. Au-delà d'amendes pouvant aller jusqu'à 300 000 euros, un pharmacien risque également cinq ans d'emprisonnement, en fonction de la gravité du non-respect de la réglementation. Dans le cas de non-respect du RGPD, l'amende peut aller jusqu'à 4 % du chiffre d'affaires de l'officine ! Des peines légères comparées à la plus grave : la perte de la confiance des patients.

François Tassain

En complément