Vous êtes dans : Accueil > cnil >
Le but de ce billet n’est absolument pas d’accabler les victimes de ces incidents, ni leurs prestataires, même si l’on pourrait dans certains cas attendre un peu mieux de leur part… mais de nous faire réfléchir sur nos pratiques, nos croyances et les contrôles que nous pourrions mettre en place pour nous assurer que nos prestataires sont à la hauteur de nos espérances.
Dans une décision rendue le 25 novembre, le Conseil d’État annule le décret du 26 décembre 2018 relatif aux départements d’information médicale pour absence de mesures de protection techniques et organisationnelles des données identifiantes des patients.
La Cnil a entériné la constitution de l’observatoire national SantéDom Stat. Une première pour une telle structure sous la coresponsabilité d’organisations professionnelles (Fedepsad, UNPDM et Upsadi).
Il y a quelque temps, un de mes disques durs perso tombe en rade : le truc bête, le bruit de la tête du peigne de lecture qui couine dans le boîtier, deux ou trois redémarrages à la sauvage, rien n’y fait, le Mac ne reconnaît plus le disque. Bref, au bout de cinq minutes je savais à quoi m’en tenir : HS et plus rien à en tirer. Bon, ce n’était jamais que mon disque de sauvegarde, celui où je stocke toutes les versions de Blanche-Neige et l’intégrale de Fritz Lang (dans le domaine public, n’allez pas vous imaginer que je télécharge sur des sites illégaux !), mais il fallait tout de même en changer. 150 euros les 3 To à la Fédération nationale d’achat des cadres, mieux que de passer du temps à tenter une réparation hasardeuse, Avant de mettre le disque à la poubelle, dans l’éventualité où un malfaisant viendrait me chiper mes fichiers, ni une ni deux, je décide de procéder à un effacement définitif des données. Et c’est là que les choses se compliquent singulièrement.
Je suis tombé à plusieurs reprises sur des discussions ou des remarques qui laissent à penser que certains décideurs – responsables métiers, directions générales, etc. – à qui le RGPD a mis un DPO dans les mains ne savent pas trop quoi faire de ce dernier. Des formations aux directions MOA internes ? Un recensement exhaustif des fichiers Excel qui se baladent sur les postes de travail ? De la paperasse avec la Cnil ? Rien de tout cela en fait : les attributions du DPO sont tout autres ; il est utile à beaucoup mieux.
Réussir un projet informatique c’est difficile, bien plus que de le rater. Mais ce qui est encore plus difficile c’est de l’arrêter au beau milieu en osant reconnaître que l’on s’est trompés. C’est exactement ce qui est en train d’arriver aux pouvoirs publics avec le Health Data Hub (HDH) : dans 40 ou 50 ans dans les promotions des écoles de management, pendant le cours des plus beaux fails de la prise de décision à haut niveau, nul doute que l’affaire des avions renifleurs sera traitée dans la même session que celle du Health Data Hub. Ainsi, selon Mediapart la CNIL demande que Microsoft cesse d’héberger le HDH[1].
Le GHT du Centre Bretagne, composé des centres hospitaliers du Centre Bretagne et de Guémené-sur-Scorff ainsi que de la maison d’accueil spécialisée de Guémené-sur-Scorff, a fait le choix de LockTransfer, solution de chiffrement de l’éditeur français LockSelf, pour sécuriser le partage de données avec les acteurs non éligibles aux messageries sécurisées de santé participant aux parcours de soins des patients et des résidents.
Dans un avis rendu le 15 septembre dernier, le comité de contrôle et de liaison Covid-19 (CCL-Covid) a comparé la France à l’Allemagne, s’agissant du nombre de téléchargements d’une application de traçage numérique et le résultat est édifiant : « En Allemagne, une application de traçage numérique, bien que partiellement dépendante d’Apple ou de Google, a été téléchargée 18 millions de fois ».
Trois nouveaux référentiels sur la conservation des données de santé ont été mis en ligne sur le site de la Commission nationale de l’informatique et des libertés (Cnil) le 28 juillet dernier. Leur objectif est d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux ainsi que dans le choix de la durée de conservation des données.
Ça y est, l’été est fini et bien fini, il est temps de remettre les mocassins, les costumes et les cravates pour reprendre le cours « normal » de nos activités.
L’année 2020 aura été bizarre, confinement oblige. Ce n’est pas pour autant qu’il ne s’est rien passé, et ce n’est pas pour autant que les gendarmes et les voleurs (comprendre RSSI et hackers) se sont tournés les pouces – surtout pour les seconds. Bilan de la première moitié de l’année.
L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap) vient de publier un kit à destination de l’ensemble des structures sanitaires et médico-sociales, rassemblant les ressources utiles pour leur permettre une mise en conformité avec le règlement général sur la protection des données (RGPD).
La prorogation de l’état d’urgence a permis d’adopter le principe d’un système d’information de données de santé à plusieurs entrées pour « tracer » les patients Covid-19 dans le cadre du déconfinement.
La mise en place du contact traçing est l’actualité brûlante : les hôpitaux doivent mettre en production les interfaces avec l’application nationale, le décret publié hier, la CNIL saisie qui donne son avis , le Conseil Constitutionnel qui retoque une des mesures du dispositif (en l’occurrence le fait que les données soient accessible à certains acteurs du dispositif).
Rarement une application ou un logiciel développé par la puissance publique aura connu autant de turbulences : même Parcoursup et APB n’en avaient pas pris autant dans la figure, c’est dire. Revenons-en aux fondamentaux de la gestion de projet pour une analyse objective, étant entendu qu’il ne s’agit pas de porter un jugement sur l’efficacité médicale (ce qui fait intervenir de multiples paramètres et sujet sur lequel je n’ai aucune compétence, donc aucun avis pertinent), mais sur le processus général.
Alors qu’elle continue à être l’objet de controverse, l’appli StopCovid est toujours d’actualité pour le gouvernement. Selon sa porte-parole, elle devrait être prête d’ici à un mois.
En cette période de crise et de peur généralisée, alors que certains révèlent leurs plus bas instincts en menaçant des professionnels de santé, en vandalisant leurs voitures et en allant même jusqu’à cambrioler certains cabinets dans le but de leur dérober leurs équipements de protection, comme le rappelle Le Quotidien du médecin [1],« plus je connais les hommes, plus j’aime mon chien », selon la formule de Pierre Desproges.
Tant qu’à être bloqués à la maison, autant en profiter pour mettre un peu d’ordre et faire du rangement.
Depuis une semaine, l’application de vidéo-conférence Zoom fait couler de l’encre à n’en plus finir dans le domaine de la sécurité. Si personne ne vous a encore demandé un accès à cet outil dans votre établissement, ça ne devrait pas tarder, sauf si… un utilisateur l’a déjà utilisé à votre insu. Après avoir commencé à recenser quelques informations pertinentes sur le sujet [1], et vu qu’il y de la matière, j’ai pensé qu’il serait intéressant de les partager avec vous, sous forme de synthèse dans ce billet.
Pour répondre aux besoins de suivi en ville des patients atteints ou suspectés de Covid-19 confinés sur tout le territoire, les équipes françaises d’Agfa HealthCare mettent à disposition des médecins libéraux et hospitaliers et des équipes de coordination qui assurent le suivi à domicile des malades chroniques, une application dédiée. De chez lui, le patient renseigne quotidiennement un questionnaire de santé précis qui génèrera immédiatement des alertes vers le professionnel de santé qui le suit, en cas de signes de gravité.
MiPih, éditeur public français de logiciels e-santé, et l’Union Régionale des Professionnels de Santé (URPS) – Médecins Libéraux Occitanie s’engagent contre la propagation du Covid-19 en rendant accessible gratuitement leur outil de téléconsultation Medicam à tous les médecins de France. Entièrement sécurisée, conforme à la règlementation encadrant l’acte médical, la plateforme entend prévenir des risques et dérives autour de la protection des données de santé.
À l’ère du numérique, quel établissement de santé, s’il n’a pas encore franchi le pas, n’a jamais songé à mettre en place une solution de prise de rendez-vous en ligne pour ses patients ? Gain de temps pour les secrétaires médicales, redynamisation de l’image de l’établissement et confort pour les patients sont de véritables arguments de persuasion.
Jeudi 20 février se tenait dans les nouveaux locaux du GCS Normand’eSanté à Caen la première réunion 2020 du collège des DSI/RSI des établissements de santé normands. La cyberattaque subie par le CHU de Rouen le 15 novembre 2019 était au cœur des échanges. Entretien avec Francis Breuille, président de ce collège et DSI du GHT Centre manche.
Traditionnellement, le premier article de l’année est dédié à la fois au bilan des 12 mois écoulés et aux bonnes résolutions de l’année à venir.
Crise de foie est synonyme de bilan de l’année, nous n’allons donc pas déroger à la tradition. Et ce fut une année riche, très riche.
Il n’était pas prévu de créer un second volet, mais à la suite du grand nombre de remarques et de commentaires (notamment de Boris Motylewski, créateur entre autres de www.cybersecu.fr) qu’a suscités le premier article (1) , il semble important d’apporter quelques précisions.
Il arrive assez régulièrement que des confrères DPO me contactent pour me signaler certaines de leurs difficultés dans l’exercice de leur mission. Elles tournent régulièrement autour du même sujet : leur responsable de traitement (RT) refuse de mettre en œuvre les préconisations de sécurité dudit DPO, entendre par là les mesures destinées à réduire les risques identifiés. Le confrère en question me demande alors comment contraindre le RT à appliquer les mesures préconisées. Il me semble qu’il y a là une erreur de positionnement, qui vaut bien un billet.
Dans un contexte où les Big data du secteur de la santé ne sont plus un « fantasme » mais une réalité quotidienne pour les praticiens, les chercheurs, les patients et toutes les parties prenantes du secteur, le Healthcare Data Institute(1) a mis l’accent sur les pistes d’amélioration de l’accès et de l’exploitation de ces données sous la forme d’une prise de position officielle (3 recommandations et 1 proposition) lors de son événement annuel (HDI Day 2019).
Publié le 10 octobre 2019 au Journal officiel, un décret a modifié les dispositions relatives à l’utilisation du numéro d’inscription au répertoire (NIR) en tant qu’identifiant national de santé (INS), pour les mettre en conformité avec la loi n°78-17 du 6 janvier 2018 modifiée relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de l’ordonnance n°2018-1125 du 12 décembre 2018.
Cette nouvelle délibération de la CNIL [1] arrive comme une pépite de chocolat sur le cookie afin de préciser les lignes directrices relatives à l’application de l’article 82 de loi informatique et libertés [2] et plus précisément aux opérations de lecture / écriture de traceurs sur le terminal d’un utilisateur.
Sans se lancer dans une quelconque théorie du complot ou toute autre polémique anti-Gafam, l’évolution du business modeldu géant américain et de ses produits mérite vraiment de s’interroger. Les données, et en particulier les données de santé, ont aujourd’hui beaucoup plus de valeur que n’importe quelle licence logicielle, ce que savent pertinemment Google ou Facebook, qui, à défaut de les exploiter, auraient probablement mis depuis belle lurette la clé sous la porte.
Ça y est, c’est l’odeur des cartables neufs, des Bic sous blister et des chaussures toutes neuves qui font mal aux petons : il est temps de faire le bilan de l’été. Parce qu’il n’y a pas eu que la canicule, fallait se tenir un minimum informé.
La canicule n’en refroidit pas certains apparemment, tout du moins si l’on se fie aux dernières breaking newssur le RGPD sous toutes ses formes, pendant cette dernière quinzaine. Que l’on en juge.
Le règlement général européen sur la protection des données à caractère personnel (RGPD), impose aux responsables de traitements de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL.
Juin se termine sous la chaleur, il est temps de faire le bilan de cette première partie d’année 2019.
RSSI et délégué à la protection des données du Centre hospitalier intercommunal Aix-Pertuis et du Centre hospitalier de Salon-de-Provence, deux établissements du GHT des Bouches-du-Rhône, Pascal Sabatier a suivi la formation DPO Certifié organisée par DSIH Formations. Voici ce qu’il en pense.
Maîtriser sa communication en cas de crise numérique : un exemple.
Comment créer les conditions favorables à l’essor de l’e-santé en France ? Il semble manifestement que le Gouvernement ait pris le taureau par les cornes à procédant à une série d’annonces spectaculaires en la matière.
Le Congrès de l’Apssis 2019 a débuté, comme chaque année, par la conférence institutionnelle. DGOS, Asip et Cnil étaient représentées, et différents thèmes ont été traités, depuis le RGPD en passant par les évolutions de l’agrément HDS et surtout le programme Hop’en.
Éditeur de solutions de sauvegarde de données depuis 2003, Kiwi Backup a lancé Kiwi Santé en février 2018. Cette offre qui a su séduire les acteurs de santé les aide à se mettre en conformité avec le RGPD. Entretien avec Sébastien Heitzmann, gérant et directeur technique de Kiwi Backup.
La conférence de Claranet s’intéresse à certaines questions induites par les obligations relatives à l’agrément ou à la certification HDS. Les interventions, de très bon niveau, sont données par des conférenciers qui connaissent clairement leur sujet, comme le prouvent leurs réponses aux questions de la salle, pourtant pointues.
Comme chaque année le Congrès de l’Apssis démarre par la conférence institutionnelle, avec la participation du ministère, de la DGOS, de l’Asip Santé et de la Cnil.
la société 100 % française Forecomm signe un accord de partenariat avec Orange Healthcare pour lancer uneoffre Saas/HDS dédiée au secteur de la Santé – du nom de BlueFiles – qui permet d’envoyer des données sensibles en toute sécurité. BlueFiles est une alternative sécurisée aux services d’envoi de documents en ligne ou, de façon plus générale, au partage de liens ou à l’envoi de pièces jointes par email. Au-delà du traitement pur de la donnée de santé, le partenariat a pour but de donner la possibilité aux acteurs du monde de la santé de sécuriser leur document – les données médicales comme les autres types de données.
À l’occasion du congrès FFMPS qui a eu lieu les 29 et 30 mars à Dijon, l’APICEM a présenté la nouvelle version de l’application de messagerie immédiate sécurisée en santé MISS*.
Face à l'essor des dispositifs médicaux connectés, la HAS publie un guide précisant les spécificités de leur évaluation clinique à l'attention des industriels qui sollicitent leur remboursement. Si l'évaluation repose sur les mêmes critères que pour tout autre type de dispositif médical, des spécificités liées à leur caractère connecté doivent être prises en compte : rapidité d'évolution de la solution technologique, interactions multiples entre patients, aidants, soignants et autres dispositifs médicaux ou objets, intégration de systèmes experts traitant les données (algorithmes avec ou sans intelligence artificielle).
C’est ce qu’il ressort de l’analyse du décret n°2018-1254 du 26 décembre 2018, précisant les modes d'organisation de la fonction d'information médicale, et que notre Cabinet a déjà eu l’occasion d’évoquer dans un précédent article (1).
Dans plusieurs régions, on voit démarrer des projets de SRI : serveurs de rapprochement d’identités. La loi de 2016 qui prévoit la mise en place de GHT avait en vue un objectif (entre autres) médical : la prise en charge coordonnée des patients sur un territoire. Or, pour prendre en charge, il faut à un moment donné partager les données médicales.
Les plus lus