Les documents numériques comportant des données de santé à caractère personnel doivent respecter certains principes pour garantir leur qualité juridique. Tout d’abord, il est important d’assurer la sécurité des processus et des opérations réalisées sur les documents électroniques originaux, ou issus d’une numérisation, de bout en bout, afin de leur conférer une force probante et de réduire les risques de contestation sur leur contenu ou leur origine. Pour ce faire, l’homologation des systèmes d’information associés est recommandée, tout comme la mise en place de fournisseurs de services respectant les conditions de sécurité associées.
Il est également essentiel d’adapter les moyens aux enjeux, en fonction des cas d’usages métier, et des risques associés. Les annexes au présent document identifient des paliers de mise en œuvre présentant des caractéristiques de sécurité plus ou moins avancées, mais induisant un niveau de complexité progressif de mise en œuvre et de déploiement.
Il est nécessaire d’analyser le contexte juridique propre au cas d’usage métier et de respecter le cadre juridique existant pour le cas d’usage métier concerné. Il convient également d’utiliser des dispositifs et des services déjà disponibles et labellisés, tels que ceux labellisés par l’ANSSI pour la France dans le contexte du Règlement Européen « eIDAS » n° 910/2014.
Le caractère « original électronique » des documents produits ou transmis doit être conservé durant l’intégralité de leur cycle de vie, depuis leur création jusqu’à la fin de leur durée de vie utile. Les technologies et algorithmes techniques sous-jacents à la production des documents électroniques, à vocation probatoire, évoluent et devenant potentiellement vulnérables dans le temps, il est nécessaire de veiller à conserver la qualité des documents électroniques via des mécanismes de conservation sécurisée.
Voir la documentation de l’ANS
Les principes
| Principe | Description |
|---|---|
| Assurer la sécurité de bout en bout | Garantir la sécurité des processus et des opérations réalisées sur les documents électroniques originaux, ou issus d’une numérisation, de bout en bout, afin de leur conférer une force probante et de réduire les risques de contestation sur leur contenu ou leur origine. |
| Adapter les moyens aux enjeux | Adapter les moyens aux enjeux, en fonction des cas d’usages métier, et des risques associés. Identifier le palier de mise en œuvre minimum adapté à chaque document en s’appuyant sur la classification des documents de santé. Réaliser des analyses de risques pour mettre en œuvre des mesures de sécurité complémentaires afin d’ajuster au mieux la sécurité du système d’information. |
| Analyser le contexte juridique propre au cas d’usage métier | Analyser le contexte juridique propre au cas d’usage métier et veiller à respecter le cadre juridique existant pour le cas d’usage métier concerné. Une analyse juridique propre au cas d’usage métier est nécessaire et elle participera au choix du ou des paliers à retenir. |
| Utiliser des dispositifs et des services déjà disponibles et labellisés | Utiliser des dispositifs et des services déjà disponibles et labellisés. Veiller à les utiliser, autant que faire se peut, afin que la mise en œuvre de ces procédés de dématérialisation se fasse dans des conditions de sécurité adéquates. |
| Conserver le caractère « original électronique » des documents | S’assurer de conserver le caractère « original électronique » des documents produits, ou transmis, durant l’intégralité de leur cycle de vie, depuis leur création (originale électronique ou issu du papier) jusqu’à la fin de leur durée de vie utile. Veiller à conserver la qualité des documents électroniques via des mécanismes de conservation sécurisée. |
| Respecter un socle commun de principes techniques et organisationnels | Respecter un socle commun de principes techniques et organisationnels. Produire des documents électroniques dans des environnements « de confiance », respectueux d’un certain nombre de principes de sécurité communs pour assurer un niveau de sécurité adapté au contexte. |
Voici les principes juridiques à respecter pour assurer la qualité juridique des documents numériques comportant des données de santé à caractère personnel :
- Assurer la sécurité des processus et des opérations réalisées sur les documents électroniques originaux ou issus d’une numérisation, de bout en bout, pour conférer une force probante et réduire les risques de contestation.
- Adapter les moyens aux enjeux en fonction des cas d’usages métier et des risques associés, en s’appuyant sur la classification des documents de santé pour identifier le palier de mise en œuvre minimum adapté à chaque document.
- Analyser le contexte juridique propre au cas d’usage métier pour respecter le cadre juridique existant pour le cas d’usage métier concerné.
- Utiliser des dispositifs et des services déjà disponibles et labellisés pour produire, signer et horodater des documents électroniques dans des conditions de sécurité adéquates.
- S’assurer de conserver le caractère « original électronique » des documents produits ou transmis, durant l’intégralité de leur cycle de vie, en utilisant des mécanismes de conservation sécurisée.
- Respecter un socle commun de principes techniques et organisationnels pour assurer un niveau de sécurité adapté au contexte de production et de conservation des documents numériques.
- Numérisation des documents papier comportant des données de santé
- AIPD et données de santé confiées à une IA : le résultat de l’analyse d’impact peut-il dispenser de consulter la CNIL ?
- DPO pour Organisme d’Accréditation : protéger les données de santé des médecins et des patients dans l’écosystème SIAM
