Vous êtes dans : Accueil > cnil >
Mi-mai, le Health Data Hub a annoncé la publication du premier arrêté portant la liste des bases composant la base principale du catalogue du Système national des données de santé et qui contribue à l’élargissement de ce dernier à l’ensemble des données financées par la solidarité nationale.
Le cabinet Solegal et la société ETIXIS disposent d’une expertise globale quant à la conformité au RGPD : juridique, technique et organisationnelle. Ils accompagnent une dizaine d’établissements du secteur médico-social situés en Haut-de-France et en Ile-de-France.
Dans le précédent volet, les obligations des professionnels utilisant des outils d’intelligence artificielle (IA), dans le cadre d’actes de prévention, de diagnostic ou de soins, ont été présentées. L’objet du présent papier est de s’intéresser aux obligations des établissements de santé en cas de recours à un éditeur fournissant un système d’IA.
Tous ceux qui suivent l’actualité des SI et de la réglementation SI voient passer des news sur telle ou telle entreprise qui vient de se prendre une prune par la CNIL. Il y en a eu, il y en a et il y en aura. Ce qui est surprenant est que dans certains cas, il s’agit tantôt d’un responsable de traitement (RT) sanctionné pour les agissements de son sous-traitant (ST), tantôt l’inverse. Ce qui pose, en filigrane, la capacité d’un RT à auditer / contrôler son ST.
Le ministère des Solidarités et de la Santé et l’Agence du numérique en santé ont publié le 1er avril 2022 le référentiel sur l’identification électronique pour faire un pas de plus vers la sécurité lors des usages du numérique en santé.
Le monde de la santé a été une nouvelle fois victime d’une cyberattaque, rendue publique. Le 17 mars 2022, l’Assurance Maladie annonçait dans un communiqué officiel[1] avoir détecté des connexions de personnes non autorisées au portail « Ameliepro » qu’elle édite pour ses services, via 19 comptes de professionnels de santé.
La première fois que je suis tombé sur ce discours, j’avoue ne pas avoir vu venir l’esbroufe. Il s’agissait d’une discussion avec un consultant à qui j’avais demandé une prestation d’analyse et de conseil en amont de l’arrivée du RGPD, histoire de voir de quoi il retournait (on était en 2017) et ce qu’il fallait faire : on passait tout de même d’une logique purement administrative à une logique de gestion des risques, ce qui n’était pas un petit changement. Au cours de la conversation, il a été question d’un accompagnement de plusieurs centaines de journées hommes : j’ai dû un peu tiquer car le consultant m’a parlé de retour sur investissement de la démarche de conformité RGPD. Ben voyons.
Cela a fait le tour des rédactions, les médias IT s’en sont bien entendu fait l’écho, et même la presse locale : Mark Zuckerberg menace de fermer Facebook et Instagram en Europe. Rien que cela.
Dans un premier article, nous avons commencé de décortiquer les notions de partage de données de santé et d’entrepôt. Suite de l’échange avec Me Marguerite Brac de La Perrière, associée Santé numérique du cabinet Lerins & BCW.
Alors que la controverse sur son fonctionnement et notamment l’hébergement des données par une société américaine court toujours, le Health Data Hub a publié le 2 février sur son site son programme de travail pour 2022. Sept grandes orientations ont été retenues.
Le nouvel espace numérique individuel « Mon espace santé » a été officiellement inauguré le 3 février 2022 au ministère des Solidarités et de la Santé. Après une phase d’expérimentation sur trois départements, il se déploie sur l’ensemble du territoire national.
Dans son référentiel sur les entrepôts de données de santé, la CNIL mentionne à plusieurs reprises le médecin responsable de l’information médicale. Plus qu’un simple renvoi à ce métier, ce nouveau référentiel de la CNIL sonne le début d’un renouveau des fonctions des médecins DIM. Décryptages avec Laurence Huin du cabinet Houdart & Associés.
Suite au récent retrait par le gouvernement de sa demande d’autorisation auprès de la CNIL pour le Health Data Hub et ce à la suite des inquiétudes liées notamment à son hébergement par Microsoft, l’analyse du référentiel de la CNIL relatif aux entrepôts de données dans le domaine de la santé est particulièrement intéressante en ce qui concerne la gestion de la sous-traitance et le transfert de données en dehors de l’Union européenne. Ce référentiel démontre la volonté de la CNIL de protéger les données intégrées au sein d’un entrepôt de données de santé contre toute législation qui n’assurerait pas un niveau de protection suffisante en matière de données à caractère personnel.
De vivant de RSSI/DPO/président de l’Apssis/chroniqueur DSIH et j’en passe, tout espoir me semblait perdu, reléguant la seule idée de l’ombre d’une souveraineté numérique aux oubliettes de la pensée : il faut croire que le sujet commence à en irriter pas mal et que les faiseurs de lois… ont découvert qu’ils pouvaient en voter quelques-unes de plus[1].
Dans un précédent volet(1), le cabinet Houdart et Associés décryptait un premier aspect portant sur le périmètre restreint du référentiel sur les entrepôts de données de santé, dans ce second Laurence Huin et Adriane Louyer analysent les modalités d’information préalable des patients.
Alors que la demande d’autorisation du Health Data Hub à la Cnil a été temporairement retirée, la plateforme présente une étude sur la perception des citoyens sur leurs données et les usages qui en sont faits.
2021 se termine, le Covid est toujours là, et il est temps de faire un bilan, sans prétention comme d’habitude.
Riche d’enseignements, le département Santé Numérique du Cabinet Houdart et Associés propose de décrypter 4 aspects particuliers du référentiel, à savoir son périmètre restreint, les modalités d’information préalable des patients, les limites du recours aux sous-traitants et aux transferts de données d’un entrepôt en dehors de l’Espace économique européen ainsi que le début d’un renouveau des fonctions du médecin DIM. Ces points vous seront détaillés dans 4 articles distincts.
À l’occasion du 7e HDI Day, le 24 novembre 2021, le Healthcare Data Institute a présenté ses neuf propositions pour une utilisation ambitieuse et citoyenne des données de santé.
Le 16 novembre, la Cnil a publié un nouveau guide pratique consacré au RGPD et aux délégués à la protection des données, issus ou non du secteur de la santé.
Le GIE Sesam-Vitale a annoncé le 8 novembre que plus de 3 millions d’appels ont été passés au téléservice Identité nationale de santé intégrée (INSi) en octobre, soit trois fois plus que les mois précédents.
Le 25 octobre, le Health Data Hub a annoncé qu’Hydro, porté par la société Implicity en partenariat avec le HDH et avec l’appui de l’assurance maladie, était le premier projet à accéder à la plateforme de données de santé. Hydro était l’un des dix lauréats du premier appel à projets d’avril 2019 et le premier à avoir obtenu l’autorisation de la Cnil en mai 2020.
La Cnil lance, jusqu’au 19 novembre, une consultation sur un projet de référentiel destiné à aider les officines de pharmacie à respecter la protection des données.
Le 7 octobre, la Cnil a adopté un référentiel qui recense les finalités de la collecte et du traitement dedonnées à caractère personnel dans les entrepôts de données de santé.
Avec son Observatoire trimestriel, l’AFCDP souhaite estimer l’évolution de la conformité des organisations, et évaluer la perception des DPO sur des sujets techniques et d’actualité.
L’identité numérique (IdNum) est certainement un sujet dont on va entendre parler dans les prochains mois et les prochaines années.
Le jeudi 23 septembre, DSIH vous convie à un webinaire exceptionnel sur la gestion de l’identité dans le cadre de MaSanté 2022.
Des soignants ont reçu une mise en garde pour avoir consulté le dossier d’Emmanuel Macron[1]. Sans motif médical valable a regard du Code de la Santé Publique (prise en charge entre autres), il apparaît qu’une trentaine de personnes (médecins, pharmaciens, infirmiers) ont consulté le dossier vaccinal d’Emmanuel Macron sur la plateforme Vaccin Covid.
Le décret relatif à la mise en œuvre de l’Espace numérique de santé a été publié au Journal officiel du 7 août dernier. Il ouvre la porte aux expérimentations avant généralisation en 2022.
Pour ce dernier billet avant la serviette et les tongs, deux réflexions/interrogations de votre serviteur avec sa bonne-mauvaise humeur habituelle.
On a beau avoir été confiné pendant des semaines, on a beau avoir télétravaillé pendant des mois, encore une première partie d’année riche en actualités SSI. Bilan à mi-parcours.
Au-delà de son aspect purement réglementaire, face à la recrudescence des cyberattaques, le RGPD représente un levier d’amélioration de la sécurité des données de santé pour les établissements sanitaires et médico-sociaux. Entretien avec Charlotte BAL, Consultante WELIOM
Le 11 juin, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé l’approbation dupremier code de conduite européen des fournisseurs de services d’infrastructure Cloud relatif à la protection des données, porté par Cloud Infrastructure Services Providers in Europe (Cispe).
L’Union européenne, toujours prompte à dégainer le réglementaire, même (et surtout) pour les trucs qui n’existent pas encore, a manifestement décidé de réglementer l’IA – et là, c’est pour la bonne cause. Face aux risques inhérents à ce type de technologie, la Commission a proposé un cadre juridique sous la forme d’un projet de règlement (Artificial Intelligence Act), qui entrera en vigueur dans un délai compris entre deux et quatre années et sera associé à un plan coordonné d’actions.
Le 18 mai dernier, la Cnil a publié pour 2020 son 41e rapport annuel qui pointe une activité fortement marquée par la crise sanitaire, mais également par les nouvelles règles sur les cookies, la cybersécurité et la souveraineté numérique.
La Cnil accompagne des projets innovants dans le domaine de la santé, comportant des enjeux emblématiques en termes de protection de la vie privée dans une démarche de « bac à sable ».
Si vous pensez faire des économies sur votre budget sécurité en souscrivant une police d’assurance cyber, et en vous disant « m’en fout ! j’suis assuré », je crois que vous faites fausse route.
Alors que les hôpitaux d’Oloron-Sainte-Marie, de Dax et de Villefranche-sur-Saône tentent de retrouver leur rythme normal après une vague de cyberattaques, les menaces en ligne suscitent toujours une grande inquiétude pour le secteur de la santé. Vendredi dernier, l’hôpital de Pontarlier est devenu la nouvelle victime des menaces en ligne. Selon Cédric O, les hôpitaux français ont été victimes de 27 cyberattaques majeures en 2020. Par ailleurs, la Cnil a lancé une enquête pour découvrir les causes de la fuite de données médicales touchant environ 500 000 personnes en France.
Dax, Trévoux, ou encore l’AP-HP, on ne compte plus le nombre de cyberattaques visant les hôpitaux et établissements de santé ces derniers mois. Les conséquences de ces cyberattaques dépassent largement le monde numérique dans ces milieux hospitaliers, qui voient leur service tourner au ralenti et dont les retombées pourraient être fatales.
Vous n’êtes sûrement pas passez à côté, depuis une semaine, on ne parle que de ça ! Les données de près de 500 000 patients français sont dans la nature !
Début février, l’ANS a réalisé un premier état des lieux des usages de la MSSanté au sein des structures de services à domicile. Il montre des disparités régionales et un besoin d’acculturation.
Après le « cas contact », la notion de personne « co-exposée » a fait son apparition dans un décret publié au Journal Officiel le 21 janvier dernier.
Début janvier, la Cnil a publié un guide pratique pour aider les chercheurs à mettre en œuvre un circuit d’appariement avec les données du Système national des données de santé (SNDS) conforme aux exigences de sécurité, en s’appuyant sur le numéro d’inscription au répertoire (NIR).
Le 12 janvier, le Cercle Prévention & Santé et le Club Numérique & Territoires de Com’Publics ont présenté leur livre blanc « Pour un patient maître de ses données de santé ».
À l’écoute de ses adhérents, l’AFCDP a souhaité partager trois retours d’expérience de DPO qui ont relevé des défis différents liés au premier confinement de la crise COVID. Ci-dessous, le témoignage de Moufid Hajjar, Délégué à la protection des données au CHU de Bordeaux.
Traditionnellement, le premier article de janvier est dédié à la fois au bilan des 12 mois écoulés, et aux bonnes résolutions de l’année à venir.
L’histoire est ressortie dans la presse récemment [1] : un groupe de 25 cliniques privées spécialisé dans le domaine de la psychiatrie a été victime d’une intrusion dans son système d’information et a reçu une demande de rançon à la fin du mois d’octobre [2].
Le 23 décembre, Éric Bothorel, député des Côtes-d’Armor, a remis au Premier ministre son rapport sur la politique publique de la donnée, des algorithmes et des codes sources.
C’est l’heure du bilan d’une annus horribilis, à tout point de vue.
Premier acteur public du numérique en santé, MiPih est le leader en informatique hospitalière. Fort de la confiance numérique instaurée avec ses 625 adhérents, MiPih met à disposition des décideurs publics et de l'ensemble des acteurs de santé, une offre de dématérialisation, de signature électronique, d'archivage électronique et de coffre-fort numérique, avec un accompagnement sur mesure.
Les plus lus