TRIBUNES LIBRES

Recherches et traitements de données de santé, actualités

Faciliter l'accès aux données de santé du Système National des Données de Santé, tel est l'objectif poursuivi par la CNIL avec la publication de deux nouvelles méthodologies de référence permettant, à condition de s'y conformer, de se soustraire à une demande d'autorisation.

Suis-je une IA ? ou les réflexions métaphysiques d’un RSSI sous tension

Il y a des semaines où s’enchaînent les ennuis, et là, j’ai eu ma dose. Alors je viens chercher réconfort auprès du lecteur qui sera sensible (sans pouvoir y répondre, forcément) à mes interrogations existentielles sur les octets, les malwares, les processus et les patchs OS vérolés.

Transition vers la Direction des Services Numériques : réussir la transformation de sa DSI

La nécessité de faciliter le quotidien des professionnels pour leurs usages du numérique, conduit les Directions des Systèmes d’Information (DSI) hospitalières à accélérer le virage digital par une transformation profonde de leurs organisations.

Développement des systèmes d'intelligence artificielle et protection des données personnelles, des impératifs conciliables

Point de système d'intelligence artificielle (IA) sans données massives, or, l'articulation entre constitution de bases de données à caractère personnel d'apprentissage et protection des données est parfois délicate.

La question de la mémoire cyber ou l’habitude de faire bouillir le lait

Lors de mon enfance, quand j’allais chez mes grands-parents le mercredi, au petit déjeuner, j’avais droit à toutes les saveurs de confiture maison, pain au beurre et jus d’orange. Avec un bol de chocolat chaud, pour lequel ma grand-mère faisait systématiquement bouillir le lait. Pas du lait de ferme sorti 10 minutes plus tôt de l’étable, je précise, non, non : du lait stérilisé UHT en brique bleue achetée au supermarché. Faire bouillir ce genre de lait ne sert strictement à rien (sauf à se brûler régulièrement la langue), c’est juste une habitude héritée de mon arrière-grand-mère (au temps où les briques UHT n’existaient pas et où il fallait pasteuriser le lait soi-même), qui a d’ailleurs été reprise par presque toutes mes tantes – on parle donc d’un geste qui a perduré pendant au moins trois générations.

Huit lauréats « Santé numérique » pour l’AMI Compétences et métiers d’avenir

Le 9 octobre, les acteurs du plan France 2030 ont dévoilé le nom des 14 lauréats de l’appel à manifestation d’intérêt « Compétences et métiers d’avenir ». Huit d’entre eux sont consacrés à la santé numérique.

La cyber à l’ère du Frappadingocène

L’eau, ça mouille, les caramels bousillent les dents, les impôts passent tous les mois, et la comète de Halley tous les 76 ans. Jusqu’à preuve du contraire, on est dans le domaine des lois de la physique (même pour les impôts), ce n’est pas près de changer. C’est clair, carré, rassurant, stable, immuable, permanent. Du lourd, quoi.

NVIDIA et les scénarios de l’Apocalypse IT

Je m’étais déjà essayé à l’exercice qui consistait à tenter d’imaginer les scénarii de type fins de partie, END OF GAME dans la cyber. L’idée venait d’un ouvrage de Guillaume Bigot il y a une petite vingtaine d’année : « Les 7 scénarios de l’apocalypse », qui mêlait joyeusement guerre nucléaire, attaque bactériologique mondiale et j’en passe.

Actualité de rentrée cyber – ça bouge beaucoup tout de même

Et on commence par des réflexions sur… la messagerie : oui, pas très original, mais en même temps quand on voit le nombre de cochonneries qui transitent par ce canal de communication, j’aurais encore des trucs à écrire dessus à la saint-glinglin. Bon, en tout cas, dans un court article d’UnderNews[1] on trouve quelques rappels sur le rôle central de cet outil, et la nécessaire sensibilisation des utilisateurs pour comprendre que ce n’est pas un clicodrome. On finira tous par passer à terme sur des solutions de nettoyage de mails dans le Cloud, et j’aime bien cette approche pour deux raisons : d’abord parce que c’est typiquement le genre de techno à externaliser, et qu’en plus elle est réversible (rien de plus simple que de changer une IP de destination dans les paramètres de votre passerelle de messagerie pour passer du fournisseur A au fournisseur Z, on ne peut pas en dire autant des hébergements Full type Micromou et Mamazon). Tiens, au fait : l’auteur de l’article introduit son propos en affirmant que « la cybersécurité est désormais un incontournable ».

RGPD : Un laboratoire d’analyses médicales invoque sa qualité de sous-traitant pour se dédouaner de toute responsabilité

Un patient s’est plaint du non-respect, par un laboratoire d’analyses médicales, de ses obligations au titre du RGPD. En défense, le laboratoire invoquait sa qualité de sous-traitant pour expliquer l’absence d’analyse impact et d’information des patients. Était-ce une bonne stratégie ? 

Confidentialité des données médicales : deux versions

« Quoi que je voie ou entende dans la société pendant, ou même hors de l’exercice de ma profession, je tairai ce qui n’a jamais besoin d’être divulgué, regardant la discrétion comme un devoir en pareil cas. » Tous les médecins qui ont prêté serment connaissent ce passage issu du serment d’Hippocrate, qui adresse très clairement la confidentialité – absolue – des données médicales dont le praticien prend connaissance. L’article 32 du RGPD ne dit d’ailleurs pas autre chose (« […] des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement »), ce qui tombe bien puisque la vision des données personnelles et la vision médicale se rejoignent.

Quelles modalités de sécurité pour les traitements critiques dans le domaine de la santé ?

Parce que certains traitements présentent des risques « d’une ampleur particulièrement importante » (les traitements dits « critiques ») et qu’ils sont la cible « des attaquants qui disposent de fortes capacités ou de fortes motivations », la CNIL a rédigé un projet de recommandation relative aux modalités de sécurisation de ces traitements[1].    

Tout le monde a droit à son IVC

Y a pas de raison que je sois le seul à ne pas y avoir droit, à l’IVC.

Les EDR, la poule et le cochon

Après un petit voyage intergalactique, vous débarquez sur la planète Zorglub et tombez nez à nez avec des représentants de la tribu des SentinelTwo, qui après les présentations et palabres d’usage vous signifient aimablement que, sous peine des pires maux des enfers, il faut prêter allégeance (et accessoirement signer un petit chèque) à leur Grand Chef à plumes, ce qui inclut l’exclusivité et la reconnaissance de la supériorité intergalactique unique et indéfectible du Grand Chef en question. Qu’à cela ne tienne. Sauf qu’en vous baladant les jours suivants dans la campagne zorglubienne vous tombez sur une autre tribu (les Carbones Noirs) qui vous explique la même chose à propos de son Big Boss (et re-chèque, et re-allégeance exclusive) et vous démontre avec force schémas que les SentinelTwo sentent le moisi. Puis sur une troisième (les Tendances), une quatrième (les Kasperpoutine), et cela n’en finit plus. Sans même parler des chèques, on a un léger souci avec quatre allégeances exclusives, chacun expliquant que ce sont les autres les nazes de l’histoire.

Une petite uchronie sur les contrôles d’accès

Imaginez un peu…

Un début de rentrée tout en nuances

Apparemment, le temps de cet été 2023 aura été très contrasté. Canicule au sud, incendies en masse dans pas mal de lieux prisés de villégiature, météo mitigée au nord avec des semaines carrément pourries. Ça change, somme toute, des étés caniculaires partout.

De quoi la rentrée cyber sera-t-elle faite ou l’antiparadigme des Kapla

Le ronronnement des habitudes semble être la norme, jusqu’au moment ou une bonne petite rupture de paradigme vous rattrape par le colback.

Dernières considérations cyber avant la plage

C’est bientôt les tongs, le sable entre les doigts de pied et les gamins qui braillent à deux serviettes de la vôtre. Avant cela, il est temps de faire un bilan à mi-course de l’année 2023.

Les EDR ou le débat conceptuel

Ne vous posez pas la question de savoir s’il faut des antimalwares sur vos PC. Il en faut (et au demeurant on aura franchi un cap important quand on arrêtera de lire les précos tek de certains éditeurs qui vous expliquent qu’il faut exclure la moitié des répertoires de la protection résidente – authentique !).

La cyber et le théorème du « Popopopopo »

J’adore ce genre d’histoire, car non seulement elle constitue un cas d’école très utile aux futurs experts de la cyber (côté gouvernance, mais pas que), mais en plus l’analyse en mille-feuille démontre que le couillon de l’histoire n’est pas celui que l’on pointe du doigt à l’origine.

La cyber confrontée à la question des accès fournisseurs

Impossible d’être passé à côté, l’actualité de cette semaine concerne l’attaque cyber dont a été victime le CHU de Rennes.

La refonte du Schéma Directeur du Système d’Informations (SDSI) d’un Groupement Hospitalier de Territoire (GHT) est l’opportunité pour sa Direction du Système d’Informations (DSI) de se repositionner auprès de toutes les composantes de l’organisation.

En appui du Projet Médico-Soignant Partagé (PMSP), la mise en œuvre d’un Système d’Informations Hospitalier (SIH) convergent constitue un levier central de la réussite des GHT. Les premiers SDSI, qui ont été élaborés dans les mois qui ont suivis la création des GHT par la loi N° 2016-41 du 26 Janvier 2016, arrivent en fin de période. L’heure est aujourd’hui à un premier bilan et au constat qu’il y a une grande hétérogénéité d’un GHT à un autre, en ce qui concerne la mise en œuvre effective de ces premiers SDSI. 

Données de santé, entre impératif de protection et nécessité d’ouverture

L’utilisation secondaire des données s’est progressivement imposée comme une nécessité, en particulier depuis les travaux ayant précédé la Loi de santé du 24 juillet 2019, ayant constitué la Plateforme des Données de Santé ou Health Data Hub.

Les spécificités de la crise cyber expliquées à ma grand-mère

Imaginez un peu : vous devez emmener toute votre petite famille (conjoint et trois enfants) en voiture, d’Arengosse (dans les Landes) à Vouziers (dans les Ardennes) dans votre Audi A4 (cinq places). OK, le voyage risque d’être un peu long, mais vous allez y arriver (j’ai volontairement choisi un trajet bien compliqué, avec deux villes sans autoroute à proximité, et qui traverse la France dans le sens de la « diagonale du vide » comme disent les géographes).

En direct de l’APSSIS 2023 – jour 3 et clap de fin

Temps fort de la dernière journée, la conférence de votre serviteur et M° Brac de la Perrière sur le thème de la blockchain en santé, regards croisés RSSI et Avocate pour quels usages. Le sujet est très technique et les deux sous-domaines sont pas mal en friche, cette conférence s’inscrit dans la lignée des veilles technologiques qui font partie de l’ADN de l’APSSIS.

En direct de l’APSSIS 2023 – jour 2

Premier temps fort de la deuxième journée, la conférence de Coralie LEMKE, journaliste chez Sciences et Avenir et auteure de l’ouvrage « Ma santé, mes donnée ». Le sujet est vaste et le balayer en 40mn relève de la gageure, Coralie LEMKE revient au premier essai clinique de l’Histoire qui a pu isoler les causes du scorbut (carences en vitamines C). Etudes isolées, études longitudinales sur le long cours, essais en double aveugle, tous ces sujets sont évoqués et on en arrive immanquablement à l’usage de l’IA pour assister les radiologues dans le dépistage de tumeurs. Bien entendu, les dérives sont évoquées, telles la « vente » de données d’assurées sociaux du NHS à des opérateurs privés dans des conditions contractuelles qui interrogent.

En direct de l’APSSIS 2023 – jour 1

Et c’est parti pour la 11ème édition du congrès de l’APSSIS.

Votre horoscope à l’ère de ChatGPT

En dehors des atermoiements de la technosphère (dont la spécialité est de développer des léviathans incontrôlables et de s’en mordre les doigts ensuite), que va réellement changer ChatGPT (et tous les modèles d’IA en état de fonctionner ou à suivre) ? Petite analyse pas du tout orientée sur le modèle des horoscopes des revues de mamies septuagénaires abonnées au catalogue Blancheporte : travail, amour, argent, loisirs.

La directive NIS 2 : un nouveau risque juridique en matière d’hébergement de données de santé ?

L’obligation est désormais connue : les établissements publics de santé qui souhaitent faire héberger leurs données de santé par un tiers (par exemple un prestataire pour une application en SaaS) ont l’obligation de faire appel à un acteur certifié selon le référentiel HDS élaboré par l’Agence du Numérique en Santé, actuellement en cours de révision. Mais qu’en est-il dans le cas des nombreux groupements de coopération (GCS, GCSMS, GIP, GIE) dont les établissements de santé sont membres ? Cette obligation est-elle bien appliquée ? Le risque juridique est-il si important ? 

De l’assurance cyber comme biais managérial

En dehors de la question de savoir si la cyber est assurable ou pas (vaste débat), si elle va le rester, si le Cloud (qui consiste à mettre toutes ses gonades mâles dans le même panier) est fondamentalement antinomique avec l’assurabilité cyber (qui suppose une répartition des risques), bref, en dehors de tous ces sujets de fond, il en est un qui paraît bête a priori : cela veut dire quoi s’assurer contre le risque cyber ?

Recherches médicales : et si le RGPD ne s’appliquait (finalement) pas au promoteur de l’étude ?

Dans une affaire récente[1], le Tribunal de l’Union Européenne a considéré que les données transmises à un destinataire ne peuvent être considérées comme des données personnelles que sous réserve que ce destinataire dispose des « moyens légaux et réalisables en pratique » lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des personnes concernées détenues par le transmetteur desdites données. Une telle décision pourrait avoir un écho très fort dans le domaine de la recherche. Explications…    

SI de santé et cyber : et si en 2023 on arrêtait…

Passer son temps à beugler avec le troupeau, c’est certes reposant, mais à la longue les neurones s’atrophient. C’est tellement plus drôle de poser les questions mêmes que tout le monde pense classées, archivées, réglées… et qui au final ne le sont pas forcément, ou pas totalement. En philo, c’est ce qu’on appelle une expérience de pensée. Personnellement j’adore, il faut juste ne pas avoir peur de sortir des âneries – mais c’est bien connu, les Gaulois n’ont peur que d’une seule chose, c’est que le ciel leur tombe sur la tête. Essayons un coup pour voir.

Le dossier médical à l’épreuve du droit

Par un arrêt du 11 avril 2023, la Cour administrative d’appel de Paris a statué sur la licéité d’un traitement de données à caractère personnel relatif au dossier médical d’un patient. Cette décision est particulièrement éclairante sur les contours des droits et obligations des parties prenantes : la personne concernée/le patient, d’une part, et le responsable du traitement/l’établissement ou le professionnel de santé, d’autre part.

Management cyber : le Check comme élément de différenciation

Quel est le point commun entre l’affaire Orpea, la fraude fiscale ou sociale et l’Éducation nationale avant 2012 ?

CVE-2023-32784 : que permet réellement cette vulnérabilité affectant KeePass ?

Une nouvelle vulnérabilité a été récemment découverte dans le gestionnaire de mots de passe KeePass. Elle permet d’extraire de la mémoire d’un ordinateur, le mot de passe (en grande partie tout du moins) maître d’une base KeePass.

Management des SI de santé : le paradigme de la tulipe

Vous ne connaissez certainement pas Pieter Wynants. Il organisa pourtant un important dîner chez lui le dimanche 1er février. Dîner au cours duquel étaient présents, parmi de nombreux invités de la ville, non seulement son cousin, mais aussi Geertruyt Schoudt, une riche veuve, ainsi que Jacob De Block, un teinturier.  

Perte de données Doctolib, petits rappels RGPD

La plateforme de RDV médicaux Doctolib a perdu des données médicales[1], en l’occurrence des milliers de données sensibles. Dans un mail envoyé aux professionnels de santé le 3 mai dernier, la plateforme fait mention d’un “incident technique” ayant conduit à l’effacement de certaines observations de suivi, comme les motifs de visite, les comptes-rendus d’examen et les conclusions effectués entre le mercredi 26 avril à 17h40 et le jeudi 27 avril 11h40.    

ChatGPT : la voie étroite entre l’interdiction et l’adaptation

À chaque fois que j’écris un billet sur l’IA et ChatGPT, je me dis que c’est le dernier, que le sujet est bouclé, mais en fait non.

L’Hôpital du Futur sera Technologique et Humain

Comment appréhender l’Hôpital du futur ? A quoi va-t-il ressembler ? Comment s’y préparer ? Que va-t-il bouleverser dans nos usages ? Ces questions sont fréquemment posées à nos consultants par les directeurs d’établissements de santé, directeur de pôles ou Directeurs des systèmes d’information, dans le cadre de nos missions ou d’échanges informels.

Droit du patient à modifier son dossier patient : consécration et exception

Une patiente admise en soins psychiatriques peut-elle faire modifier les données intégrées dans son dossier médical au nom du sacro-saint RGPD ? En d’autres termes, la réglementation sur les données personnelles prévaut-elle sur le contenu du dossier médical déterminé par le code de la santé publique ? 

La cyber va bien, en fait plus que bien : hyperbien !

« En 2023, les mesures de protection cyber ont considérablement évolué pour répondre aux menaces en constante évolution. Les professionnels de la cybersécurité ont mis en place des mesures de protection plus avancées pour protéger les systèmes informatiques et les données sensibles contre les cyberattaques.

MFA, plutôt trois que deux ?

Le mot de passe est mort.

L’édition 2023 de SANTEXPO - LE rendez-vous annuel de la santé et du médico-social abordera : « La Santé au cœur de la démocratie »

SantExpo est l’événement de la Fédération hospitalière de France (FHF) qui a pour objectif de rassembler comme chaque année les décideurs, les institutions, les usagers, les professionnels de santé, les entreprises et start-up impliqués dans le management, la gestion, le numérique, le parcours de soin, l’expérience patient, l’équipement, les matériels, la construction et la transformation des établissements de santé.

QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows

Journées nationales du numérique à l’hôpital : les enjeux à venir

Le 14 mars dernier, WELIOM assistait aux Journées nationales du numérique à l’hôpital, l’occasion de débattre du bilan du programme HOP’EN et du nouveau volet SUN-ES, en compagnie de l’ANS, de la DGOS, de l’ANAP et d’autres acteurs opérationnels.

ChatGPT ou Le Bal des pleureuses

À moins d’être totalement allergique à l’informatique, il est difficile d’émettre un avis négatif sur le fait que le domaine est tout de même hyperintéressant. Innovations à tout va, concepts de haut niveau maniés à longueur de journée, sans parler des différentes couches où tout le monde peut facilement trouver chaussure à son pied. Le réseau vous branche : il y a. Le développement Objet vous fascine ? Il y a aussi. À moins que vous ne préfériez les langages fonctionnels de type Haskell ou Lisp ? Il y a encore. Les middlewares et les bases de données ? Les applications métiers et leurs liens avec les processus ? Il y a encore et encore. Bref, on peut s’y vautrer allègrement toute sa vie sans voir deux fois la même chose. Pour un technophile, c’est le nirvana total.

Habilitations d’accès aux données médicales à l’ère des GHT - Vision juridique

Quand le brillant RSSI et DPO Cédric Cartau et moi-même décrochons notre téléphone en pleine journée pour nous appeler, c’est qu’un « serpent de mer » technico-juridique nous travaille. Le dernier en date : les droits d’habilitation au Dossier Patient Informatisé (DPI), et ce, dans le contexte d’un article de presse[1] annonçant les mesures prises par l’APHP « la mise en œuvre d’un système de surveillance du mode « bris de glace » afin de contrôler et d’identifier les accès illégitimes ». Dans un premier volet, la vision technique et opérationnelle a donc été présentée[2]. Ce deuxième volet vise à présenter le cadre juridique. Que disent les textes ?        

Vague 2 du SEGUR Numérique : Des tendances qui s’affirment en ce qui concerne le SONS

Le SEGUR Numérique s’annonce tout aussi intense en 2023 qu’il l’a été en 2022. La Vague 2 se profile à l’horizon avec l’ambition de poursuivre la généralisation du partage fluide et sécurisé des données de santé entre les Professionnels de Santé et avec les Usagers. S’il est encore un peu tôt pour se faire une idée précise des futures cibles d’usages qui seront à atteindre, du côté du SONS en revanche, les tendances de ce qui va être au programme des éditeurs s’affirment. 

Les habilitations d’accès aux données médicales à l’ère des GHT – la vision RSSI/DPO

La news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.

Enquête : les femmes, le numérique et la cybersécurité

Notre écosystème est toujours très masculin, nos événements accueillent plus de 80% d’hommes et les récentes études réalisées sur la présence des filles dans les filières scientifiques et informatiques ne montrent aucune amélioration. Pourquoi la mixité semble si difficile à atteindre dans le numérique et encore plus dans la cyber ?