Le 25 mai 2018, le règlement européen sur la protection des données est entré en application. De nombreuses formalités auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) disparaissent. En contrepartie, la responsabilité des organismes est renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
Les professionnels de santé sont également soumis à cette règlementation car les dispositions du RGPD (Règlement Général sur la Protection des Données) s’appliquent à tous les traitements de données personnelles (nom, prénom, numéro de patient) qu’ils utilisent dans le cadre de leurs activités, que ces traitements soient sous forme informatique (logiciel de gestion des patients, de la pharmacie, de la biologie, cohorte observationnelle) ou papier (dossier patient papier).
Les données collectées sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient ou à l’étude envisagée.
Ils doivent délivrer aux patients une information portant sur le traitement de données qu’ils effectuent pour leur prise en charge (soit dans le logiciel de suivi, soit dans le dossier papier). Ils doivent également s’assurer du consentement éclairé du patient pour pouvoir collecter ses données.
Ils doivent respecter des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle.
Pour ce faire ils doivent mettre en place des mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données (ex : utilisation de la carte professionnelle de santé, mot de passe personnel, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc.)
S’ils doivent passer par un prestataire qui traite des données en leur nom et pour leur compte (ex : hébergement de données par un hébergeur de données de santé agréé ou certifié, etc.), celui-ci doit, en tant que sous-traitant, leur garantir un niveau de sécurité adapté au risque. Ils doivent vérifier ce point et conclure un contrat avec leur prestataire.
Pour plus de détails : CNIL
La certification des hébergeurs de données de santé (HDS).
Depuis le 1er avril 2018, une nouvelle procédure de certification pour l’hébergement des données de santé accrédité par le COFRAC remplace l’agrément auparavant délivré par le Ministère de la santé.
Les HDS ne peuvent utiliser les données qui leur sont confiées à d’autres fins que l’exécution de la prestation d’hébergement. Lorsqu’il est mis fin à l’hébergement, le HDS restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les données n’ont pas à être hébergées en France.
Le site Juristique.org a répertorié pour vous les hébergeurs agrées de données de santé 2018. Dans la liste, vous pouvez retrouver : A2com, IBM France, Orange Business Services, OVH …
Liste complète : Lien
La certification Afnor propose quelques conseils pour les hébergeurs :
