Sécurité des systèmes d’information et données de santé
Marguerite Brac de La Perrière traite de l’hébergement des données de santé dans un ouvrage dédié à la sécurité des systèmes d’information.
SSI Santé ou la sécurité des systèmes d’information en santé, cet ouvrage collectif, produit par l’APSSIS avec le support de l’ASIP Santé, réunit plus de 40 contributions.
La rédaction d’articles et de retours d’expériences a été proposée à un large panel de professionnels de la SSI Santé : selon Vincent Trély, président de l’APSSIS, l’objectif initial était de « donner la parole au terrain, par la plume de celles et ceux qui « exercent la SSI », qui mettent en œuvre les principes de la cybersécurité au cœur des organisations, tant sur le volet « technique » que sur le volet « politique » et qui connaissent succès et échecs, facilités et difficultés, joies et doutes, mais sont toujours accompagnés par la passion ».
L’ouvrage est organisé en sept thématiques :
- Normes et référentiels,
- Gouvernance de la SSI Santé,
- Technologies de sécurité,
- RGPD et cybersécurité,
- Processus et procédures,
- Conformité et audits, et
- Prospective.
SSI Santé : l’obligation générale de sécurité rappelée par le RGPD
A l’heure de l’entrée en application effective du RGPD, Marguerite Brac de La Perrière qui dirige le département Santé numérique du cabinet Lexing Alain Bensoussan Avocats, traite de la question délicate de l’hébergement des données de santé à l’aune de la sécurité des systèmes d’information de santé.
Depuis le 25 mai 2018, le RGPD impose aux responsables de traitements et sous-traitants, « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques », de mettre en œuvre « les mesures techniques et organisationnelle appropriées afin de garantir un niveau de sécurité adapté au risque » , étant rappelé que toute infraction à ces dispositions expose à de lourdes sanctions.
Cette obligation générale de sécurité rappelée par le RGPD renvoie aux référentiels et bonnes pratiques sectoriels.
Or en matière d’hébergement de données de santé, ce référentiel sectoriel est celui relatif à l’obligation d’agrément ou de certification des hébergeurs, qui a largement évolué ces derniers mois.
Dans son article, Marguerite Brac de La Perrière fait le point sur le cadre juridique applicable et son périmètre.
L’heure est donc venue pour les acteurs du secteur de la santé d’appréhender ce cadre juridique applicable à l’hébergement de données de santé à caractère personnel, et son périmètre d’application.
Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique