Logiciel metier SPST et conformite RGPD : les criteres essentiels
Le logiciel metier constitue le coeur du systeme d’information d’un Service de Prevention et de Sante au Travail. Il centralise les donnees de sante de milliers de salaries : dossiers medicaux, avis d’aptitude, fiches d’exposition, resultats d’examens complementaires. Le choix et la configuration de ce logiciel ont un impact direct sur la conformite RGPD du SPST. Ce guide detaille les criteres a verifier et les bonnes pratiques a mettre en oeuvre.
Les principaux logiciels metier du marche SPST
Le marche des logiciels metier pour les SPST est domine par quelques editeurs specialises : Padoa, Preventiel, Stetho, Medtra, GIM Sante. Chacun propose des fonctionnalites specifiques, mais tous doivent repondre aux memes exigences RGPD en matiere de protection des donnees de sante. Le choix d’un logiciel ne doit pas se faire uniquement sur des criteres fonctionnels, mais aussi sur la robustesse des mesures de securite et de conformite.
L’evaluation d’un logiciel metier sous l’angle RGPD doit porter sur plusieurs dimensions : gestion des droits d’acces, tracabilite des actions, securite des donnees, interoperabilite, hebergement et durees de conservation. Chaque dimension merite une analyse approfondie avant tout choix ou renouvellement de solution.
Hebergement de donnees de sante (HDS)
L’hebergement des donnees de sante est encadre par l’article L. 1111-8 du code de la sante publique. Le logiciel metier SPST doit etre heberge chez un hebergeur certifie HDS (Hebergeur de Donnees de Sante). Cette certification, delivree par un organisme accredite par le COFRAC, garantit un niveau de securite adapte a la sensibilite des donnees.
Le SPST doit verifier que la certification HDS de l’hebergeur couvre bien les activites concernees (hebergeur d’infrastructure physique, hebergeur infogeur, hebergeur d’application). La localisation des donnees doit egalement etre verifiee : les serveurs doivent etre situes dans l’Union europeenne, voire en France, pour eviter les problematiques de transfert international de donnees.
En cas de solution SaaS (Software as a Service), l’editeur du logiciel et l’hebergeur peuvent etre distincts. Le SPST doit s’assurer que l’ensemble de la chaine d’hebergement est certifiee HDS, y compris les eventuels sous-traitants techniques (sauvegarde, reprise d’activite).
Gestion des droits d’acces et profils utilisateurs
Le logiciel metier doit permettre une gestion fine des droits d’acces, conforme au principe de minimisation du RGPD. Chaque categorie de professionnel du SPST (medecin du travail, infirmier, secretaire medicale, ergonome, psychologue, assistant social) doit disposer d’un profil d’acces adapte a ses missions.
Le medecin du travail accede a l’integralite du DMST. L’infirmier accede aux informations necessaires a ses protocoles de suivi. La secretaire medicale gere les aspects administratifs (planification, convocations) sans acceder aux donnees medicales detaillees. L’ergonome accede aux informations relatives aux postes de travail et aux restrictions fonctionnelles, sans connaitre les diagnostics.
Le logiciel doit egalement gerer les habilitations au niveau des donnees individuelles. Un medecin du travail ne doit acceder qu’aux dossiers des salaries relevant de son secteur. Les fonctionnalites de « bris de glace » (acces exceptionnel au dossier d’un salarie hors secteur en cas d’urgence) doivent etre tracees et justifiees.
Tracabilite et journalisation des acces
Le RGPD impose de pouvoir demontrer la conformite des traitements (principe de responsabilite). Le logiciel metier doit integrer une journalisation complete des acces et des actions : qui a consulte quel dossier, quand, quelles donnees ont ete modifiees, quelles informations ont ete exportees. Ces journaux doivent etre conserves pendant une duree suffisante (3 ans minimum) et proteges contre toute modification.
La journalisation doit couvrir les tentatives d’acces echouees, qui peuvent reveler des tentatives d’intrusion ou des erreurs de configuration des droits. Un systeme d’alertes automatiques doit signaler les comportements anormaux : nombre inhabituel de consultations de dossiers, acces en dehors des horaires de travail, tentatives d’acces a des dossiers hors secteur.
Les journaux d’acces doivent etre accessibles au DPO du SPST et au responsable de la securite des systemes d’information (RSSI). Ils constituent un outil essentiel pour les audits de conformite et les investigations en cas d’incident de securite.
Interoperabilite et echanges de donnees
La loi du 2 aout 2021 renforce les exigences d’interoperabilite des systemes d’information des SPST. Le logiciel metier doit permettre les echanges avec le DMP (Dossier Medical Partage), Mon Espace Sante et les autres acteurs du systeme de sante. Ces echanges doivent etre securises et respecter les normes techniques en vigueur (HL7 FHIR, CI-SIS).
L’interoperabilite ne signifie pas un acces libre aux donnees. Chaque echange doit etre encadre par des protocoles precis definissant les donnees echangees, les conditions d’acces et les finalites autorisees. Le logiciel doit permettre de tracer chaque echange de donnees avec un systeme externe, en identifiant l’emetteur, le destinataire, la nature des donnees transmises et la date de l’echange.
Les API (interfaces de programmation) utilisees pour les echanges doivent etre securisees par des mecanismes d’authentification robustes (OAuth 2.0, certificats). Les donnees transitant par ces API doivent etre chiffrees en transit et, si necessaire, au repos.
Sauvegardes et plan de reprise d’activite
Les donnees du logiciel metier doivent faire l’objet de sauvegardes regulieres, conformes aux exigences HDS. Le plan de sauvegarde doit definir la frequence (quotidienne au minimum), la retention (plusieurs generations), le chiffrement des sauvegardes et les tests de restauration periodiques.
Le plan de reprise d’activite (PRA) doit garantir la continuite du service en cas de sinistre. Les objectifs de temps de reprise (RTO) et de point de reprise (RPO) doivent etre definis en fonction de la criticite du logiciel pour l’activite du SPST. Les sauvegardes externalisees doivent etre hebergees chez un prestataire certifie HDS distinct du site principal.
Durees de conservation et archivage
Le logiciel metier doit integrer les regles de conservation specifiques au DMST : 40 ans apres la derniere visite, dans la limite de 10 ans apres le depart a la retraite pour les salaries exposes a des agents cancerogenes. Ces durees exceptionnellement longues imposent des choix techniques perennes en matiere de format de stockage et de migration des donnees.
Le logiciel doit permettre l’archivage automatique des dossiers selon les regles definies, avec une distinction entre base active et base d’archive. Les dossiers archives doivent rester accessibles en cas de demande d’acces du salarie ou de contentieux, mais avec des conditions d’acces renforcees. La suppression des dossiers a l’expiration de la duree de conservation doit pouvoir etre automatisee, avec une validation prealable.
Mise a jour et maintenance du logiciel
La maintenance du logiciel metier est un enjeu de securite majeur. Les mises a jour de securite doivent etre appliquees dans les meilleurs delais pour corriger les vulnerabilites identifiees. Le contrat avec l’editeur doit prevoir des engagements precis en matiere de delai de correction des failles de securite.
Les mises a jour fonctionnelles doivent etre testees avant deploiement pour verifier qu’elles ne compromettent pas les mesures de protection des donnees existantes. Un environnement de test, miroir de la production, est necessaire pour valider les evolutions sans risque pour les donnees reelles.
Audit de conformite du logiciel metier
Un audit regulier du logiciel metier sous l’angle RGPD est indispensable. Cet audit doit verifier les droits d’acces effectivement configures (et non seulement ceux prevus dans la documentation), la journalisation reelle des acces, la securite des echanges avec les systemes externes, la conformite de l’hebergement HDS et l’application effective des durees de conservation.
L’audit doit egalement porter sur les pratiques des utilisateurs : utilisation de mots de passe robustes, verrouillage des sessions, absence de contournement des regles d’acces. Les ecarts constates doivent faire l’objet d’un plan d’action correctif avec des echeances precises.
Conclusion
Le logiciel metier est la pierre angulaire de la conformite RGPD d’un SPST. Son choix, sa configuration et sa maintenance doivent integrer les exigences de protection des donnees de sante a chaque etape. Certification HDS, gestion fine des droits d’acces, tracabilite des actions, interoperabilite securisee et durees de conservation adaptees sont autant de criteres qui doivent guider les decisions. Un audit regulier permet de verifier que la conformite initiale est maintenue dans le temps et que les pratiques des utilisateurs restent alignees sur les exigences du RGPD.
Laurent de Cavel, DPO certifie
