De nos jours, des outils numériques, notamment à travers des objets ou appareils connectés, mesurent, analysent, stockent et parfois partagent nos données de santé : c’est ce que l’on appelle la e-santé. Il est devenu quasiment impossible d’y échapper, quel que soit notre âge et notre état de santé. Il devient donc indispensable, du fait que la santé est un sujet qui nécessite des précautions particulières, d’apprendre à se servir à bon escient et avec éthique des nouvelles technologies de l’information et la communication appliquées à ce sujet sensible qu’est notre santé.
C’est pourquoi le CISS (Collectif Interassociatif sur la Santé) vient d’émettre une série de conseils pour aider les usagers du système de santé à renforcer leurs droits et leurs capacités autour de la e-santé (www.leciss.org/esante-conseilsciss).
Il s’agit de 10 grands principes que 66 Millions d’IMpatients vous propose de découvrir en vous présentant chaque jour un exemple d’application pratique de chacun de ces 10 conseils de bon usage de la e-santé prônés par le Collectif Interassociatif Sur la Santé.
PRINCIPE N°9 :
APPLICATION PRATIQUE : LA SÉCURTIÉ DES DONNÉES DE SANTÉ EN LIGNE
De plus en plus de sites et d’applications sur le thème de la santé précisent que vos données sont sauvegardées chez un hébergeur de données de santé agréé par le ministère de la Santé. Le fait est qu’en France, lorsque l’on collecte des informations sur la santé des personnes et que l’on décide de les stocker chez un tiers (ce que beaucoup de sites et applis font), c’est obligatoire de choisir un hébergeur de données de santé agréé…
Que dit la loi ?
En France la loi inscrite au code de la santé publique protège les usagers dans ce sens et l’article L1111-8 précise que « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. »
L’agrément concerne qui en France ?
Les éditeurs de sites internet ou d’applications reçoivent, analysent et stockent parfois d’énormes quantité de données. Pour cela, ils peuvent faire appel à des sociétés externes que l’on appelle des hébergeurs. Lorsqu’il s’agit de données de santé concernant le territoire français, les hébergeurs en question doivent obtenir un agrément qui encadre la façon dont ils organisent, sécurisent, conservent et restituent ces données. L’agrément est remis par le ministère de la Santé pour une durée de 3 ans, avec l’accord de la CNIL (Commission nationale de l’informatique et des libertés) et d’un comité d’agrément. Précisons que ces hébergeurs peuvent aussi être amenés à stocker des données traitées par des professionnels ou des établissements de santé.
Les hébergeurs étrangers peuvent également recevoir cet agrément et seront tenus de garantir leur confidentialité et leur sécurité avec le même niveau d’exigence.
A ce jour, 92 sociétés ou organismes sont agréées (voir la liste ici).
Et si mes données de santé voyagent ?
Si en France le système est encadré par la loi, il n’en est pas forcément de même dans le reste du monde. Soyez vigilants si vous confiez des données personnelles de santé numérisées à l’étranger, elles ne seront peut-être pas protégées par les mêmes dispositions. Sans s’inquiéter outre mesure, de nombreux pays disposant aujourd’hui d’équivalents de notre CNIL, il faut tout de même avoir conscience du caractère précieux des informations de santé pour de nombreux acteurs économiques.
Prenons garde de ne pas numériser n’importe comment, ni auprès de n’importe qui, nos données personnelles de santé, qui commencent parfois tout simplement, en précisant notre taille et notre poids sur une application web qui nous semble très anodine…
A noter que la procédure pour l’agrément des données de santé a été revue par la loi de santé du 26 janvier 2016 et passe désormais par l’obtention de certifications ISO, sous le contrôle du ministère et des professionnels de la santé. La mise en place de la réforme doit se faire au 1er janvier 2019. L’ensemble des hébergeurs de données de santé devront avoir migrés sur la nouvelle procédure à cette date.
Malgré toutes les bonnes résolutions énoncées, on s’aperçoit qu’il y beaucoup à faire pour la sécurisation des données personnelles.
On peut faire confiance à tous ceux qui sont à l’affût pour contourner cette sécurisation.
Malheureusement
Quand on a un ministre tel que celui qui s’occupe de la santé en ce moment, à savoir véran, on peut se faire énormément de soucis au sujet de la confidentialité de nos données.