Pour faciliter le soin et l’accompagnement des patients, le secteur de la santé tend vers toujours plus de digitalisation. Cette numérisation à tous les niveaux, bénédiction pour certains, enfer pour d’autres, implique des obligations légales contraignantes et complexes liées à la protection des données personnelles et au respect des droits individuels.
La récente sanction de deux médecins libéraux par la CNIL pour manquement à l’obligation de sécurité des données et la remise en cause du partenariat entre Microsoft et le Health Data Hub illustrent combien les problématiques de sécurité sont complexes et les menaces nombreuses.
Aujourd’hui, plus que jamais, les professionnels de santé doivent pouvoir compter sur des experts au savoir-faire et à l’éthique irréprochables pour exercer dans l’environnement le plus sûr possible.
Choisir une solution en conformité avec le cadre légal
Le respect du RGPD
Entré en application le 25 mai 2018, le règlement européen sur la protection des données personnelles a pour objectif de renforcer les droits des personnes, de responsabiliser les acteurs traitant ces données et d’encadrer leur régulation en renforçant la coopération des autorités de protection.
Toutes les solutions proposées par Cegedim Santé à destination des professionnels de santé s’inscrivent dans ce cadre strict et sont développées dans le respect de ce règlement. Ses logiciels de gestion de cabinet, d’e-prescription, de téléconsultation, d’agenda et de prise de rendez-vous en ligne sont conformes au RGPD.
La certification d’un Délégué à la Protection des Données (DPO)
La Loi Informatique et Libertés va plus loin que les dispositions prévues par le RGPD et permet de certifier une personne pour ses compétences en tant que Délégué à la Protection des Données (DPO). Désigné en interne par Cegedim, le DPO conseille et accompagne le groupe et les collaborateurs dans la conformité, contrôle le respect du RGPD et coopère avec la CNIL. Il garantit ainsi l’application du RGPD et de bonnes pratiques au sein du groupe.
Bon à savoir : ces certifications sont à durée limitée et sont renouvelées régulièrement par Cegedim Santé.
Vérifier les standards de sécurité
La certification Hébergeur de Données de Santé (HDS)
Les données de santé étant particulièrement sensibles, le ministère de la Santé, au travers de l’ANS, a mis en place une certification spécifique : Hébergeur de Données de Santé. Cette certification est un véritable gage de confiance et d’excellence pour la sécurité des données de santé.
Elle repose sur deux certificats :
- le certificat “hébergeur d’infrastructure physique”,
- le certificat “hébergeur infogéreur”.
Cegedim Santé, pour sa part, dispose des deux certificats et fait partie des 66 hébergeurs aujourd’hui agréés par le ministère de la Santé. Les données de santé gérées par Cegedim Santé sont hébergées exclusivement dans ses deux datacenters en France métropolitaine, à Boulogne-Billancourt et Toulouse.
Les normes ISO
De nombreux référentiels internationaux existent pour attester de la qualité des services et produits fournis par des organisations et entreprises comme les éditeurs de logiciels.
Cegedim santé, pour qui la sécurité des données est au cœur de son activité, est engagé dans une démarche d’amélioration continue et d’excellence. Ses systèmes d’information répondent donc aux normes suivantes :
- ISO 20000 (certification des services informatiques)
- ISO 27001 (sécurité des systèmes d’information)
- ISO 27017 (sécurité de l’information du Cloud)
- ISO 27018 (protection des données personnelles hébergées en Cloud)
Les bonnes pratiques au quotidien
La sécurité et la protection des données passent par la mise en place de processus stricts à tous les niveaux, avec notamment la sensibilisation des salariés par le DPO.
A ce titre, tous les collaborateurs Cegedim Santé sont soumis à des formations et contraintes fortes :
- mises à jour des antivirus et des logiciels,
- changements réguliers des mots de passe et utilisations de mots de passe complexes,
- droits d’accès restreints selon les besoins des utilisateurs,
- chiffrement des données,
- sécurisation des locaux,
- etc.
Comprendre la démarche du prestataire
Respect des droits de chacun
Les éditeurs de solutions sont tenus de détailler explicitement les droits de leurs utilisateurs et l’utilisation faite de leurs données personnelles.
Le premier devoir est un devoir de transparence. Les utilisateurs doivent garder la maîtrise de leurs données, être informés sur l’utilisation qui en sera faite et qu’elles ne soient pas collectées à leur insu.
Par exemple, Cegedim Santé a mis en place un contrat spécifique dans le cadre de l’Observatoire Thin. Partenaire de plus de 3000 médecins généralistes et spécialistes, Cegedim Santé établit ainsi régulièrement des observatoires épidémiologiques en se basant sur les données anonymisées partagées par les professionnels de santé signataires du contrat.
Enfin, les utilisateurs doivent pouvoir exercer leurs droits. La consultation, l’accès, la rectification ou la suppression de leurs données doivent être simples.
Engagement et éthique
Les éditeurs de solution, au-delà des solutions numériques qu’ils développent à destination des professionnels de santé et des patients, doivent être garants d’une éthique irréprochable pour garantir une confiance absolue dans leurs outils et leurs usages.
Rééditée fin 2017, la Charte Éthique de Cegedim Santé affirme sa démarche déontologique dans ses activités et son engagement dans la collecte et la gestion des données personnelles.
Parmi ses engagements figurent :
- la collecte de données personnelles uniquement si nécessaire,
- l’anonymisation ou la pseudonymisation des données le cas échéant,
- le respect les durées de conservation des données,
- la mise en conformité avec la réglementation,
- la conservation des données en toute sécurité,
- la collecte des données sensibles en stricte conformité avec la réglementation.
Pour Cegedim Santé, la transformation numérique doit être au service des professionnels de santé et de leurs patients. Dans ce cadre, la sécurité de l’information et la protection des données servent un objectif commun : protéger ses utilisateurs des atteintes liées à leurs données personnelles.