Santé Magazine n°471 – mars 2015 /
Les informations personnelles relatives à la santé sont des données sensibles, dont la collecte et l’utilisation sont strictement encadrées par la loi. Mais où sont-elles stockées et comment sont-elles sécurisées ?
Chaque année en France, plus d’un milliard de feuilles de soins transitent par voie électronique et quinze millions de séjours hospitaliers donnent lieu à des dossiers informatisés. Par ailleurs se développent des communautés de patients sur internet où s’échangent des informations médicales personnelles. Enfin, on constate un véritable boom des objets connectés dédiés à la santé. Entre tous ces phénomènes, deux points communs : tous génèrent, collectent et/ou traitent des informations relatives à la santé, et utilisent pour cela des supports numériques. Et pour tous, le même enjeu : assurer la sécurité des données personnelles de santé (DPS).
Ce que dit la loi
« La loi Informatique et libertés de 1978 interdit la collecte d’informations personnelles sensibles, dont celles relatives à l’état de santé. Sauf exception : si ces DPS sont utilisées par un professionnel de santé dans le cadre du diagnostic, du traitement ou de la prévention médicale, ou si la personne a donné son consentement, ou enfin si elle a elle-même rendu publiques ces données », explique Délia Rahal-Löfskog, chef du service de la santé à la CNIL*. En pratique, ces DPS sont générées et collectées par l’ensemble des professions de santé, par l’Assurance Maladie, par les complémentaires de santé (mutuelles et assurances) ainsi que les assureurs lors d’une demande de crédit bancaire par exemple. Pour tous, un même cadre législatif précise l’usage de ces DPS et surtout leur protection.
DPS et médecine de ville
Chez votre médecin ou votre dentiste, à la pharmacie ou dans laboratoire d’analyses, les DPS sont de plus en plus souvent stockées dans des ordinateurs. L’accès doit en être contrôlé. En pratique, cela signifie que les ordinateurs sont dans des pièces sécurisées et/ou qu’ils ne sont pas accessibles à tous : à la pharmacie par exemple, pas question qu’un client puisse lire par dessus votre épaule l’ensemble de vos ordonnances informatisées ! Chaque professionnel de santé doit s’authentifier pour accéder aux DPS. Il se sert pour cela d’une carte de professionnel de santé (CPS) : une carte à puce individuelle avec code à glisser dans un lecteur connecté à l’ordinateur (en général, le même lecteur que pour la Carte Vitale). Ces cartes sont distribuées par les organisations professionnelles (ordres des médecins, des pharmaciens…) ou les autorités de santé.