La numérisation des documents de santé au format papier offre de nombreux avantages aux acteurs du secteur santé-social, mais expose également ces derniers à différents risques. Ainsi, pour garantir la qualité et la fiabilité du processus de numérisation, il est important de prendre en compte les principes suivants :
- La fiabilité et qualité du processus de numérisation ;
- L’identitovigilance au cours du processus de numérisation ;
- L’identification et l’intégration des copies numériques au sein des SI ;
- La gestion des accès aux documents numérisés et le respect de leur intégrité ;
- La pérennité des copies numériques.
Ainsi, les responsables de traitement sont tenus d’analyser les risques liés à ces opérations de numérisation, de respecter les principes et règles communs à la manipulation de documents numériques, tels que
| Risques | Description |
|---|---|
| Non-conformité au RGPD | Le responsable de traitement peut être soumis à des amendes et à des sanctions en cas de non-conformité au RGPD, notamment en cas de violation de données à caractère personnel. |
| Perte ou vol de données | La perte ou le vol de données à caractère personnel peut avoir des conséquences graves, notamment en matière de protection de la vie privée et des données des individus concernés. |
| Attaques informatiques | Les attaques informatiques, telles que les virus, les logiciels malveillants et les cyberattaques, peuvent compromettre la sécurité des données à caractère personnel et entraîner des violations de données. |
| Erreur humaine | Les erreurs humaines, telles que la divulgation accidentelle d’informations ou la saisie incorrecte de données, peuvent également entraîner des violations de données. |
| Non-respect des accords contractuels | Le non-respect des accords contractuels avec les prestataires externes ou les partenaires commerciaux peut entraîner des violations de données ou une non-conformité au RGPD. |
| Manque de documentation | Un manque de documentation adéquate peut rendre difficile la démonstration de la conformité au RGPD et compliquer la gestion des violations de données à caractère personnel. |
| Non-respect des droits des individus | Le non-respect des droits des individus, tels que le droit à l’oubli, le droit d’accès, le droit à la portabilité et le droit de rectification, peut entraîner des réclamations et des poursuites judiciaires. |
En particulier, il convient de déterminer le « palier » le plus adapté au type de document ainsi qu’aux risques associés à son contexte métier. En suivant ces principes, les acteurs du secteur santé-social pourront profiter des avantages de la numérisation tout en garantissant la qualité et la sécurité des données de santé à caractère personnel.
Avoir recours à un prestataire externe pour la numérisation des documents de santé
Lorsqu’un établissement de santé fait appel à un prestataire externe pour effectuer tout ou partie de ses fonctions, il est important de prendre des mesures de sécurité générales pour éviter tout risque de violation des données. Tout d’abord, il est crucial de comprendre que l’établissement reste responsable de tous les traitements effectués, qu’ils soient effectués par un tiers ou non. Par conséquent, il est important de sélectionner soigneusement les prestataires et de procéder à des contrôles réguliers, tels que des audits.
En outre, il est important de s’assurer que les fournisseurs tiers respectent les conditions de sécurité associées. Dans ce contexte, il est essentiel de maîtriser les risques associés à l’infogérance en exigeant que les prestataires tiers produisent une « Politique d’Assurance Sécurité » adaptée au contexte. Il est également important de lister toutes les exigences de sécurité associées à une activité et d’identifier celles qui sont de la responsabilité du prestataire, en fonction du périmètre pris en charge par celui-ci dans l’activité.
Il est important de noter que pour les prestataires qui manipulent des données de santé à caractère personnel, une certification HDS ou un agrément du Ministère de la Culture est obligatoire, conformément au cadre juridique, consulter un DPO pour plus d’informations car nous vous proposons une synthèse et non une réponse. De même, le prestataire est un sous-traitant du traitement des données à caractère personnel et, par conséquent, il doit respecter les exigences du RGPD. Par conséquent, il est impératif que le respect de ces exigences soit contractuellement spécifié avec le prestataire.
En fonction de la fonction sous-traitée et du niveau de sécurité associé au palier choisi, d’autres exigences peuvent être imposées ou prises en compte. Par exemple, la certification ISO 27001 du prestataire sur le périmètre des fonctions sous-traitées, la qualification eIDAS pour le service approvisionné, ou encore la certification de conformité du tiers archiveur à la norme NF Z 42-013 et son équivalent international ISO 14641-1 (certification Afnor N461 par exemple).
En conclusion, il est crucial pour les établissements de santé de veiller à la sécurité de leurs données, même lorsque des prestataires tiers sont impliqués. En tant que DPO, il est important de s’assurer que les contrats conclus avec les prestataires tiers spécifient clairement leurs obligations en matière de sécurité des données et de respect du RGPD. L’analyse de risque doit également être effectuée pour s’assurer que toutes les mesures de sécurité nécessaires sont prises pour protéger les données à caractère personnel.
Mécanismes cryptographiques
| Mécanismes cryptographiques | Description |
|---|---|
| Authentification de personnes physiques ou de systèmes | Les mécanismes cryptographiques sont utilisés pour l’authentification des personnes physiques ou de systèmes, tels que les certificats numériques, afin de vérifier l’identité de l’utilisateur ou du système. |
| Calcul d’empreintes numériques | Les mécanismes cryptographiques sont utilisés pour calculer des empreintes numériques, qui sont des codes de hachage uniques qui représentent un ensemble de données. Ils sont utilisés pour vérifier l’intégrité des données et détecter toute altération. |
| Signature électronique de données | Les mécanismes cryptographiques sont utilisés pour la signature électronique de données, qu’elle soit réalisée par une personne physique ou morale. La signature électronique permet de garantir l’authenticité et l’intégrité des données signées. |
| Chiffrement de données | Les mécanismes cryptographiques sont utilisés pour chiffrer les données, ce qui les rend inintelligibles pour les personnes non autorisées. Le chiffrement est utilisé pour protéger la confidentialité des données. |
Le choix des mécanismes de sécurité doit être réalisé en conformité avec le Référentiel Général de Sécurité (RGS) en vigueur, en suivant notamment l’annexe B1 pour la version v2. Une veille de sécurité doit être effectuée pour s’assurer que les mécanismes choisis à une date t sont toujours suffisants pour les risques attachés au processus considéré. Lorsqu’une obsolescence est détectée, des mécanismes de sécurité plus récents et plus robustes doivent être appliqués.
En ce qui concerne le choix des autorités de certification, il convient de se référer au référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), sauf pour le cas du palier 3 de la numérisation de document où un autre document de référence est applicable.
