Santé

Actualités, Articles, Publication, Santé

Parution du nouveau référentiel de certification HDS : quels changements ?

Vient d’être publié l’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel. Début 2022, cinq ans après la mise en œuvre de la certification HDS, la Délégation du Numérique en Santé (« DNS ») et l’Agence du Numérique en Santé (« ANS ») ont lancé une démarche de révision du référentiel de certification HDS (ci-après « nouveau référentiel de certification HDS ») (1). Ces instances se sont associées notamment à la Commission nationale de l’informatique et des libertés (« Cnil »), laquelle a rendu un avis favorable sur le projet de référentiel le 13 juillet dernier (2). En décembre 2023, l’ANS a soumis le projet d’arrêté « modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel » à la Commission européenne (3). Nota bene : Seul le référentiel de certification pour l’hébergement de données de santé à caractère personnel (« référentiel de certification HDS ») nous intéressera dans la suite de nos développements. Ce référentiel HDS est à destination des hébergeurs et non des certificateurs comme le référentiel d’accréditation des organismes de certification. Lire la suite Le cadre juridique de ce référentiel Nouveau référentiel de certification HDS L’hébergement des données de santé à caractère personnel est encadré en France par les articles L.1111-8 et R.1111-8 et suivants du Code de la santé publique (« CSP »). Cette règlementation pose l’obligation d’être certifiée HDS pour toute personne qui : héberge sur support numérique des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même. L’objectif de cette règlementation est de garantir aux usagers et aux professionnels de santé que les données de santé à caractère personnel, particulièrement protégées par le RGPD, confiées dans le cadre d’une prise en charge médicale, sont sécurisées. Les modifications apportées Nouveau référentiel de certification HDS Précisions sur l’activité 5 Pour mémoire, le périmètre des activités d’hébergement certifiées couvre la mise à disposition et le maintien en condition opérationnelle : des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ; de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ; de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ; de la plateforme d’hébergement d’applications du système d’information ; l’administration et l’exploitation du système d’information contenant les données de santé ; la sauvegarde des données de santé. L’un des objectifs du nouveau référentiel de certification HDS est de clarifier les activités pour lesquelles les hébergeurs ont obtenu la certification, en particulier l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ». En effet, à ce jour, l’activité dite « d’administration et d’exploitation d’applications du système d’information (« SI ») de santé », correspondant à l’activité 5 de la certification HDS, n’a toujours pas été supprimée du périmètre de la certification, malgré les questionnements qu’elle suscite du fait notamment de son absence de définition. (4) Or, cette activité, relative à l’application métier, avait conduit de nombreux acteurs (éditeurs de logiciels, fabricants de dispositifs médicaux, etc.) à s’interroger sur la nécessité d’être certifiés. (5) Le nouveau référentiel de certification HDS propose une définition du champ d’application de l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ». Selon cette définition, l’activité 5 recouvre : l’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation, par exemple, à des fins d’audit, d’expertise, de déploiement ou de maintenance, et qui ont accès via le Socle d’Infrastructure HDS à l’Application métier ; le maintien en condition de sécurité du Socle d’Infrastructure HDS et le centre de support au client ; et la tenue à jour de la documentation assurant la cohérence et la complétude des garanties de sécurité fournies par les différents acteurs participant à la mise en œuvre du service. Ainsi, certaines opérations exercées par des éditeurs de logiciels ou des fabricants de dispositifs médicaux (maintenance par exemple) se retrouveraient exclues du périmètre de l’obligation de certification HDS. A faire : L’hébergeur devra vérifier s’il exerce toujours l’activité d’ « administration et exploitation du système d’information contenant les données de santé » compte tenu de la nouvelle définition et amender le contrat le cas échéant. Nouvelles exigences du contrat HDS Le nouveau référentiel de certification HDS vise à clarifier les obligations contractuelles de l’hébergeur en intégrant les clauses obligatoires déjà prévues par l’article R.1111-11 du Code de la santé publique dans les contrats HDS. A faire : L’hébergeur devra auditer son contrat HDS pour s’assurer qu’il intègre les clauses obligatoires de l’article R.1111-11 du Code de la santé publique et, à défaut, amender le contrat pour qu’il reprenne l’ensemble de ces clauses obligatoires. Le nouveau référentiel de certification HDS vise également à améliorer la lisibilité des garanties apportées par l’hébergeur à chaque client faisant appel à ses services. Il impose à l’hébergeur HDS qu’il reproduise dans le contrat ses garanties et celles de sous-traitants éventuels. L’objectif est d’être transparent sur la participation réelle de chaque acteur à la sécurité des données confiées par le client et de standardiser la présentation des garanties mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part. A faire : L’hébergeur devra intégrer le tableau reproduit dans le nouveau référentiel de certification HDS listant les acteurs qui participent au traitement des données dans le cadre de la prestation HDS. Nouvelles exigences de transparence et d’hébergement dans l’EEE S’agissant des exigences de transparence, le nouveau référentiel de certification HDS s’inscrit dans une démarche de protection du client et des données de santé à caractère personnel qui sont confiées à

Articles, Informatique et libertés, Publication, Santé, Secteur santé

Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux

Dans une décision du 22 février 2024 (1), le Garant de la protection des données personnelles (« GPDP »), homologue italien de la Cnil, a infligé une amende de 75 000€ à une société gérant sept hôpitaux pour accès non autorisé à des dossiers médicaux par son personnel. Lire la suite Quel est le contexte de la décision ? Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux Le GPDP consécutivement au dépôt de trois plaintes à l’encontre de la société gérant les hôpitaux, concernant des accès répétés et non autorisés à des dossiers patients électroniques par des membres du personnel médical non impliqués dans le suivi desdits patients. Par exemple, une professionnelle de santé avait réussi à consulter les analyses de laboratoire de son ex-mari sans son consentement, alors même qu’elle n’était pas impliquée dans sa prise en charge. Quels sont les manquements observés dans l’accès aux dossiers médicaux ? Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux L’Autorité italienne a fondé sa décision sur les articles 5, 9, 25 et 32 du Règlement général sur la protection des données (« RGPD »), afin de retenir le « caractère illicite du traitement des données personnelles effectué par la société ». Pour le GPDP, la société a manqué à son obligation de sécurité du traitement des données de santé à caractère personnel, notamment en : • permettant au personnel d’accéder aux dossiers patients électroniques, par auto-certification ; • autorisant par défaut un large éventail de professionnels, y compris le personnel administratif sans lien avec les soins des patients, à avoir accès aux dossiers patients électroniques ; • ne mettant en place aucun système d’alerte afin de détecter les comportements anormaux ou à risque liés aux opérations effectuées par les responsables de traitement. D’après le GPDP ces différents manquements constituent à la fois des violations du RGPD et une transgression des « Lignes directrices sur les dossiers médicaux » émises en juin 2015. Ces lignes directrices rappellent notamment que l’accès au dossier médical doit être limité aux seuls personnels de santé qui interviennent dans le processus de prise en charge des patients. En plus de l’amende administrative de 75 000€ infligée à la société, le GPDP a également ordonné de mettre en œuvre des mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité des données personnelles traitées et d’éviter tout accès non autorisé aux dossiers médicaux des patients. Conclusion Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux Cette décision fait écho à la sanction infligée par l’Autorité Espagnole de Protection des Données (« AEPD ») à un hôpital en novembre 2022 pour défaut de précautions empêchant l’accès non autorisé aux dossiers médicaux des patients (2). De son côté, la Cnil a récemment mis en demeure plusieurs établissements de santé d’adopter des mesures pour sécuriser le dossier patient électronique (3). Elle a insisté sur la nécessité de restreindre l’accès aux données médicales aux seuls professionnels habilités et justifiant d’un besoin légitime. Notes de bas de page : Décision n° 10001279 rendue par le GPDP, du 22 février 2024 Décision de l’AEPD du 18 novembre 2022 Communiqué de la CNIL du 9 février 2024. Avec la collaboration d’Eva Deniau, stagiaire étudiante en Master 2 Droit de la santé et de la protection sociale. Created by potrace 1.16, written by Peter Selinger 2001-2019 Isabelle Chivoret Avocate, Directrice du département Santé numérique Isabelle Chivoret Avocate, Directrice du département Santé numérique Avocate à la Cour d’appel de Paris, Isabelle Chivoret est directrice du département Droit de la santé numérique. Elle intervient dans les domaines du conseil et du contentieux en Droit de la santé et des Sciences de la vie, tant auprès de laboratoires pharmaceutiques, fabricants de dispositifs médicaux, sociétés de biotechnologie, que d’établissements et professionnels de santé, de groupement de coopération sanitaire et de GHT. Phone:+33 (0)6 79 40 91 20 Email:isabelle-chivoret@lexing.law Émilie Brulon Avocate, Département Santé numérique Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

2024 Intelligence artificielle et données de santé
Actualités, Conférences Lexing, Evénement, Santé

Conférence Lexing 2024 Intelligence artificielle et données de santé

Isabelle Chivoret et Anthony Sitbon animent une conférence Lexing le 5 juin 2024 Intelligence artificielle et données de santé, de 9h30 à 11h30 heures en visioconférence. Lire la suite Données de santé et IA Conférence Lexing 2024 Intelligence artificielle et données de santé Le développement de l’IA offre des opportunités notamment dans le domaine de la médecine ou de la recherche en santé.  Or l’entraînement des algorithmes nécessite un grand volume de données, notamment de données personnelles. IA et données de santé Conférence Lexing 2024 Intelligence artificielle et données de santé Les traitements de données de santé impliquant de l’intelligence artificielle (ou IA) doivent ainsi respecter la réglementation sur la protection des données. Comment assurer la conformité de vos traitements de données de santé impliquant de l’IA à la règlementation applicable ? Conférence Lexing à distance Conférence Lexing 2024 Intelligence artificielle et données de santé Faites donc le point grâce à la visioconférence qui aura lieu mercredi 5 juin 2024 entre 9h30 et 11h30. Isabelle Chivoret est avocate et directrice du département Santé numérique de Lexing Alain Bensoussan Avocats. Anthony Sitbon est consultant et dirige le département Sécurité de Lexing Technologies. Il présentera les aspects techniques et organisationnels mais aussi sécuritaires des données de santé auxquels il faut prêter attention. Pour y assister, enregistrez-vous en renseignant les champs marqués d’un (*) : Created by potrace 1.16, written by Peter Selinger 2001-2019 Isabelle Chivoret Avocate, Directrice du département Santé numérique Isabelle Chivoret Avocate, Directrice du département Santé numérique Avocate à la Cour d’appel de Paris, Isabelle Chivoret est directrice du département Droit de la santé numérique. Elle intervient dans les domaines du conseil et du contentieux en Droit de la santé et des Sciences de la vie, tant auprès de laboratoires pharmaceutiques, fabricants de dispositifs médicaux, sociétés de biotechnologie, que d’établissements et professionnels de santé, de groupement de coopération sanitaire et de GHT. Phone:+33 (0)6 79 40 91 20 Email:isabelle-chivoret@lexing.law Anthony Sitbon Consultant, Directeur du département Sécurité de Lexing Technologies Anthony Sitbon Consultant, Directeur du département Sécurité de Lexing Technologies Consultant, Anthony Sitbon dirige le département Sécurité de Lexing Technologies. Il a la certification ISO 27005 en management du risque informatique du Professional Evaluation and Certification Board (PECB) (mars 2023), ainsi que la Certification « cybersécurité des TPE/PME » de l’Institut des Hautes Études de Défense Nationale (IHEDN) (octobre 2020). Anthony Sitbon accompagne ses clients les différents domaines relatifs à la cybersécurité. Phone:+33 (0)6 80 34 08 32 Email:anthony-sitbon@lexing-technologies.com Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

la recherche médicale
Actualités, Articles, Informatique et libertés, Publication, Santé

Activité 5 de la certification HDS : un retrait toujours d’actualité ?

A ce jour, l’activité dite « d’administration et d’exploitation d’applications du système d’information (« SI ») de santé », correspondant à l’activité 5 de la certification Hébergeur de Données de Santé (« HDS »), n’a toujours pas été supprimée du périmètre de la certification, malgré les questionnements qu’elle suscite du fait notamment de son absence de définition.

Retour en haut