Le Correspondant Informatique et Libertés (CIL) mutualisé des établissements de santé.

DSIH, LUNDI 28 OCTOBRE 2013

Le déploiement de l’hôpital numérique ces cinq dernières années par les établissements de santé, est  un atout majeur dans la gestion et la performance du  parcours de soin, de suivi et de santé du citoyen et du personnel médical et paramédical.

 

 

Les données de santé peuvent être communiquées et utilisées dans les conditions déterminées par la loi, que dans l'intérêt direct du patient (assurer son suivi médical, faciliter sa prise en charge par l’assurance maladie obligatoire…) ou pour les besoins de la santé publique.

La réglementation concernant la collecte et l’utilisation de ces données de santé est stricte et complexe, un jeu d’équilibriste (risques élevés quant à la manipulation de ces données dites « sensibles » : accès, utilisation, échange ou diffusion) pour le Responsable de Traitement  qui peut être sanctionné civilement, pénalement et administrativement en cas de manquement constaté.

Les établissements de santé gérant et manipulant des données à caractère personnel sont soumis à la Loi du 6 janvier 1978 dite « Loi Informatique et Libertés » en matière de conformité de leur systèmes d’information,  s’ajoute à ces dispositions d’ordre général, des réglementations propres et spécifiques au secteur de la santé (LHPST du 21 juillet 2009, décret de confidentialité de mai 2007, Code de la Santé Publique, Code de la Sécurité Sociale, Loi du 4 mars 2002, Loi du 27 juillet 1999…) augmentant ainsi le niveau de conformité des établissements de santé.

La CNIL (Commission Nationale Informatique et Libertés) a attiré l’attention des pouvoirs publics sur « la nécessité de clarifier les finalités et fonctionnalités de ces projets numériques.  Elle a également rappelé la nécessité, pour mener à bien ces projets, de définir un cadre juridique stable, de déployer des solutions de sécurité effectives et de haut niveau et de construire ces projets en informant les patients et en impliquant les professionnels de santé » cf. CNIL

Le développement et la modernisation des systèmes d’information hospitaliers entraînent les Responsables  de Traitement d’établissements de santé à être vigilant sur les enjeux et les risques associés.

 

Parallèlement au projet d’hôpital numérique, on assiste à l’émergence des difficultés des Responsables de Traitement (dans son rôle d’application de la loi en matière de protection et sécurité de leurs données à caractère personnel) à répondre aux dispositions réglementaires complexes et évolutives.

Une innovation et une nécessité :

La gestion de la Conformité Informatique et Libertés au sein des établissements de santé.

 

Quel rôle pour le CIL (Correspondant Informatique et Libertés) SANTE mutualisé ?

 

    Une législation complexe et exigeante pour les Responsables de Traitement

 

Les dispositions de la Loi Informatique et Libertés imposent  aux professionnels de santé ainsi :

 

1°) Une haute exigence au moment de la collecte (consentement de la personne concernée indispensable) ;

2°) Un  respect strict  notamment :

-          du droit d’information, d’accès, de rectification et d’opposition

-          de la durée de conservation

-          de la finalité du traitement

-          de la licéité du traitement

-          de la transparence concernant la communication, les interconnexions et les échanges de données

-          des obligations de sécurité, de protection et de confidentialité renforcées

-          de la traçabilité et l’historique des systèmes d’information gérant des données à caractère personnel.

Ces conditions sine qua non sont des impératifs pour les Responsables de Traitement des établissements de santé (publics ou privés), ceux-ci doivent répondre à une exigence élevée de gestion de leur activité de conformité et d’éthique concernant leur système d’information.

« Assurer la sécurité de vos fichiers c’est pouvoir garantir, aux patients la confidentialité des données qui y figurent et disposer, en permanence, d’un outil de travail fiable. » cf. CNIL Fiche pratique Sécurité informatique Données de santé.

Cela se traduit par une obligation de conformité et de sécurité informatique renforcée et une bonne gouvernance des systèmes numériques de santé.

Il appartient aux Responsables de Traitement des établissements de santé de prendre les dispositions nécessaires pour assurer la sécurité des données enregistrées et empêcher qu’elles ne soient divulguées ou utilisées à des fins détournées surtout s’il s’agit d’informations couvertes par le secret médical.

 

Comment concilier ces impératifs législatifs et les manques de moyens et de ressources des établissements de santé ?

En pratique au sein des établissements de santé, les problématiques rencontrées récurrentes sont les manques de moyens ,de ressources humaines, matérielles, et de temps.

« Complexe, chronophage et coûteuse » : tels sont les termes qui définissent, selon la majorité des responsables d’établissements de santé, la gestion de la Conformité Informatique et Libertés au sein de leur établissement.

Des audits et des contrôles réguliers s’imposent au sein de ces établissements à risques de part la nature des données utilisées exploitées et échangées (données de santé).

Une gestion des risques structurée et permanente est vivement conseillée parallèlement au déploiement du numérique, s’agissant aussi bien du dossier Patient Informatisé (DPI) ou  du Dossier Médical du Patient (DMP) que du suivi informatisé administratif et logistique du personnel hospitalier (médical, administratif ou paramédical).

A terme la numérisation et l’automatisation des données personnelles relatives aux patients et au personnel médical et administratif, permettront de rendre plus performant les services d’intérêt collectif dans les domaines de la santé, particulièrement le monde hospitalier et le parcours de soins et de santé des patients.

La croissance des besoins d’échange de données informatisées,  de données administratives et de santé entre les différents intervenants du parcours de soins et de santé (interne ou externe  à l’établissement  :  partages de données avec les hébergeurs de santé, les professionnels de santé, les administrations, les prestataires, les fournisseurs…), renforce l’urgence et l’obligation d’avoir des procédures de gouvernance des systèmes d’information adaptées répondant aux exigences de la Loi Informatique et Libertés.

 

    Une réponse innovante : le CIL SANTE MUTUALISE

Dans le cadre des investissements d’avenir, et de modernisation du patrimoine informatique des établissements de santé, le Correspondant Informatique et Libertés (CIL) mutualisé  a pour objectif d’accompagner les établissements de santé  afin d’assurer leur conformité Informatique et Libertés.

Le GIE (Groupement d’Intérêt Economique) DATA SANTE crée en 2013 a pour principale activité de proposer le service d’un CIL mutualisé, aux établissements de santé publics et privés et ainsi garantir la bonne application de la Loi Informatique et Libertés relevant  du secteur « Santé » identifié comme « sensible » par la CNIL (automatisation et  manipulation de données de santé).

 

La fonction de CIL peut être mutualisée entre différents organismes publics et privés, dès lors que ceux-ci sont liés par des intérêts économiques communs ou appartiennent à un même secteur d’activité.

Chaque organisme, en tant que Responsable de Traitement d’une entité juridique particulière, devra notifier à la CNIL la désignation du correspondant concerné par la mutualisation.

 (Article 44 de la Loi Informatique et Libertés Désignation du CIL par le Responsable de Traitement, article 22 III de la loi du 6 janvier 1978 modifiée)

Définition du CIL Mutualisé

Il appartient à une entité regroupant des structures de même secteur ou des filiales d’un groupe ; ou encore à un groupe d’intérêt économique, il est potentiellement dans plusieurs structures.

La désignation d’un « CIL », permet au Responsable du Traitement d’alléger ses obligations déclaratives auprès de la CNIL.

Il désignera, une personne qui sera chargée :

- de tenir un registre des traitements mis en œuvre au sein de l’organisme

- de tenir un bilan annuel

- de veiller au respect des dispositions de la loi Informatique et Libertés  au sein de l’établissement.

Le CIL ainsi mutualisé a vocation à être un interlocuteur spécialisé en matière de protection de données à caractère personnel. Il sera le garant, d’une sécurité juridique,  informatique et de simplification administrative.

La sous-traitance de la gestion de la conformité Informatique et Libertés  par le CIL SANTE mutualisé et son équipe, permettra aux établissements de santé de répondre aux exigences réglementaires sans mobiliser des ressources internes supplémentaires.

Le CIL SANTE mutualisé  accompagne les établissements de santé dans la démarche de certification HAS (Haute Autorité de Santé). Il est l’interlocuteur privilégié entre le Responsable de Traitement, les personnes concernées et les différents organismes (organismes de contrôle ou de certification : CNIL, Haute Autorité de Santé…).

Opérationnel et sur le terrain, accompagnant ainsi les Responsables de Traitement au sein de leurs services, le CIL SANTE mutualisé assisté par son réseau d’experts Informatique et Liberté Santé  seront les principaux interlocuteurs  des Responsables de Traitement en tant que conseillers, auditeurs et atouts majeurs dans la gestion de la conformité Informatique et Libertés.

 

NOS METHODES :

 

-          Etre en mesure de comprendre les enjeux et les besoins opérationnels et prendre en compte dans les solutions proposées et lorsque cela est nécessaire, les contraintes opérationnelles et budgétaires lors d’un entretien préalable afin d’établir la nature de prestations à fournir et le forfait approprié

-          Un accompagnement opérationnel complet à la fois juridique et fonctionnel sur place au sein de l’établissement même,  partout en France, par téléphone et par tout moyen de communication

-          Une expertise basée sur un cahier des charges stricte conformément à la Loi Informatique et Libertés et les normes de sécurité Informatique ISO 27000 et suivantes

-          Un professionnalisme et une éthique reconnus à l’écoute du client et de ses besoins

Une hotline expertise technique et juridique gratuite pour les clients forfait Mutualisation CIL

 

 

A propos de l’auteur :

GIE DATA SANTE

Mme Thet SOK

Juriste Conformité et NTIC

Directeur associé

thet.sok@giedatasante.fr

 

#hopital#numérique#sécurité#cnil#données de santé#patient#confidentialité#hospitalier#data#pra#

Lettre d'information Offres d'emploi
e-santé

• 11/10/2022 - GIP Centre-Val de Loire e-Santé - (45)

  Chargé(e) déploiement des usages

• 11/10/2022 - GIP Centre Val de Loire e-santé - (45)

  Référent en Identitovigilance

• 11/10/2022 - GIP Centre Val de Loire e-Santé - (45)

  Ingénieur de production

• 19/09/2022 - GIP Centre-Val de Loire e-Santé - (45)

  Chargé(e) d’accompagnement Ségur/ SI ESMS