Mar 4, 2020

RGPD : En France, le secteur de la santé a une carte à jouer

Didier Ambroise est le fondateur du Cabinet de Conseil Doshas Consulting qui a accompagné la quasi-totalité des acteurs de santé et de la protection sociale, en particulier  sur des missions d’audit de conformité RGPD. J’ai eu la chance de l’interviewer pour connaître son avis sur la conformité au RGPD du secteur de la santé.

Quelle est votre impression sur la conformité au RGPD du secteur de la santé en France ?

A mon sens, le secteur de la santé bénéficie d’une acculturation forte qui lui permet d’avoir été en avance dans sa mise en conformité au RGPD par rapport aux autres secteurs. La réglementation française joue également un rôle dans cette avance. 

En ce qui concerne l’acculturation, nous pouvons citer deux éléments qui démontrent que les problématiques mises en avant par le RGPD ont été identifiées et assimilées par les acteurs de santé : la protection des données de santé et le recueil du consentement.

Depuis longtemps, la question de la sécurité des données entreposées dans les systèmes d’information a été prépondérante dans le domaine de la santé, notamment avec le “décret hébergeur de données de santé” (HDS).

Il n’y a qu’à reprendre les 4 enjeux de sécurité que sont la disponibilité, l’intégrité, la confidentialité et l’auditabilité (DICA) pour se rendre compte de l’importance du sujet de la sécurité dans le domaine de la santé.

Imaginons que le corps médical ne puisse pas accéder aux informations du patient sur lequel il doit réaliser une intervention. A l’inverse imaginons que le corps médical puisse accéder aux informations du patient mais que celles-ci aient été modifiées, volontairement ou non, et qu’elles ne soient plus exactes. Les conséquences pourraient être dramatiques. 

Pour ce qui est de la confidentialité, l’actualité avec les réactions vis-à-vis du rachat de Fitbit par Google nous démontre, si cela était nécessaire, de l’importance de la confidentialité des données de santé.

La culture “DICA” fait partie inhérente de la culture de la santé.

L’autre élément qui prouve que le secteur médical est peut-être un peu plus en avance que d’autres sur le sujet des données à caractère personnel est le consentement. La notion de consentement éclairé trouve son origine dans un arrêt de la Cour de Cassation de 1942. La jurisprudence comme la loi n’ont jamais remis en question ce principe fondamental formalisé par la loi de 2002 : « Aucun acte médical, ni aucun traitement ne peut être pratiqué sans le consentement libre et éclairé de la personne et ce consentement peut être retiré à tout moment. »

La culture du consentement est quelque chose que les professionnels de santé connaissent parfaitement bien et ce depuis très longtemps, tant dans la recherche médicale que dans le processus de soin.

Le fait que les hébergeurs de santé sur support numérique doivent, depuis 2016, être certifiés, précédemment “agréés”, me fait dire que la réglementation française a sans doute également participé à faire du secteur de la santé un des secteurs les plus avancés en terme de conformité RGPD.

Aujourd’hui, lorsque vous êtes certifiés Hébergeur de Santé, vous êtes de fait, en conformité RGPD. Dit autrement et en simplifiant, certains acteurs de la santé ont dû être conformes au RGPD avant sa mise en application. Pour les autres, on peut vraisemblablement penser que la marche à franchir pour être conforme au règlement européen est moins importante que dans d’autres secteurs.

Cette contrainte législative ne risque-t-elle pas de faire partir des entreprises vers des pays où la réglementation est plus “conciliante” ?

Il est vrai que la France est sans doute un des pays le plus exigeant en matière de domaine de Santé. Faut-il le regretter pour autant ? J’y vois au contraire une chance pour les patients et une opportunité pour les entreprises. Sur ce deuxième point j’ai en tête l’exemple d’un industriel de la santé qui a choisi justement d’héberger en France les données grâce à la réglementation HDS. Les dirigeants de ce groupe international ont vu dans la loi, non pas une contrainte mais, une opportunité ; l’opportunité d’avoir un temps d’avance sur la concurrence.

Partir pour un autre pays à la réglementation plus conciliante c’est faire le pari que la France n’arrivera pas à éclairer ses partenaires sur ce qui devrait être une utilisation responsable des données de santé. La France a une carte à jouer sur ce sujet et il est important que nous mettions tout en oeuvre pour la conserver notamment en permettant à la HealthTech Française de concurrencer les GAFAM mais également les BATX que nous oublions peut-être un peu trop souvent.

Enfin, il ne faut pas non plus oublier l’importance grandissante de l’utilisateur et donc le patient/citoyen qui se soucie de plus en plus des données qui le concerne et spécialement celles de santé. Se limiter au cadre législatif c’est également faire fi des demandes des utilisateurs sur cette problématique.

 

Sur le sujet des données et de l’utilisation de celles-ci pour façonner la médecine de demain. Quel regard portez-vous sur les Start-up ? 

Dans tous les cas, mon regard pour les entrepreneurs qui essaient de faire bouger les lignes est bienveillant. Mon expérience avec les start-up me fait dire qu’elles peuvent être classées en deux grandes catégories. Celles ayant pour fondateurs ou associés des professionnels de santé de formation et celles ayant été créées par des personnes ayant suivi une formation autre.

Les premiers ont la chance d’avoir été sensibilisées à l’utilisation des données dans leur cursus au travers des codes de déontologie mais ils n’ont pas forcément la compétence “numérique”.
Les autres ont la capacité à identifier très facilement les usages possibles à partir des données de santé mais ne se rendent pas toujours compte de la sensibilité des données en jeu. Dans ce cas là, le retour de bâton est parfois brutal lors des présentations aux professionnels de santé.  

Dans tous les cas, l’ensemble des start-up aujourd’hui doit être sensibilisé sur le sujet des données de santé pour espérer convaincre clients et usagers sur la pertinence de leur solution ou au moins son utilisabilité.

 

Finalement tout va bien dans le meilleur des mondes dans le secteur de la santé ?

Un certain nombre de difficultés ont été identifiés et reste encore à surmonter. La première d’entre elles est la très grande diversité des types de logiciels, d’outils et de solutions qui existent au sein d’un Système d’Information de Santé. Cette multiplication d’acteurs et d’applications rend par exemple les travaux de supervision et de maintenance par la DSI d’un établissement de santé très complexes – ce qui peut dans le cas d’une cyberattaque être très compliqué en termes de détection et de fonctionnement en mode dégradé, sans parler de la “gestion de crise”.

Pour en revenir aux données, l’interopérabilité sémantique (et l’interopérabilité technique) sont l’autre principale difficulté du secteur. C’est un axe majeur d’amélioration fixé dans la feuille de route du “virage numérique”, appelé “MaSanté2022”, par le Ministère de la Santé qui s’est doté d’une Délégation ministérielle du Numérique en Santé (DNS).

Comment rédiger un contrat de sous-traitance RGPD ?

Comment rédiger un contrat de sous-traitance RGPD ?

Le RGPD impose l’encadrement et la formalisation des relations entre un Responsable de Traitement et un Sous-traitant. Traduction : pour chaque sous-traitant identifié, un contrat de sous-traitance (ou un acte juridique écrit) doit être rédigé. DPO,...