Vous êtes dans : Accueil > confidentialité des données >
Depuis des mois, un large travail d’analyse du risque cyber qui pèse sur les établissements de santé et une priorisation des mesures correctives à mettre ont été mené avec l’ensemble des acteurs de l’écosystème (fédérations hospitalières, DSI et RSSI d’établissement de santé, ARS, Grades...). Ce travail a permis de lancer le 18 mars, deux guichets de financements portés par l’ANS et destinés aux Etablissement de santé. Il s’agit dans un premier temps de :
La santé est un domaine vaste, sensible et stratégique, qui nécessite une protection optimale des données et des systèmes d'information. Les risques liés aux cyberattaques sont réels et peuvent avoir des conséquences graves sur la continuité des soins, la confidentialité des données personnelles, la réputation des établissements ou encore la sécurité des patients.
Début février, la Cnil a mis en demeure plusieurs établissements de santé à propos de la sécurité du dossier patient informatisé, au motif que « les données des patients ne doivent être accessibles qu’aux personnes justifiant du besoin d’en connaître ».
Révolutionner la médecine grâce à la blockchain et l'IA. C’est le credo de Galeon depuis plus de 7 ans. Un projet qui s’inscrit à l’heure de l’IA, dans un contexte où le secteur médical souffre à différents niveaux. Secteur ayant grandement besoin d’inspiration, et surtout de moyens efficaces de protéger ses données.
La start-up tech spécialisée dans l’IA médicale confirme la sécurité de son environnement et de sa solution en ce qui concerne le traitement et stockage de données de santé à caractère sensible grâce à l’accréditation HDS.
Un patient s’est plaint du non-respect, par un laboratoire d’analyses médicales, de ses obligations au titre du RGPD. En défense, le laboratoire invoquait sa qualité de sous-traitant pour expliquer l’absence d’analyse impact et d’information des patients. Était-ce une bonne stratégie ?
« Quoi que je voie ou entende dans la société pendant, ou même hors de l’exercice de ma profession, je tairai ce qui n’a jamais besoin d’être divulgué, regardant la discrétion comme un devoir en pareil cas. » Tous les médecins qui ont prêté serment connaissent ce passage issu du serment d’Hippocrate, qui adresse très clairement la confidentialité – absolue – des données médicales dont le praticien prend connaissance. L’article 32 du RGPD ne dit d’ailleurs pas autre chose (« […] des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement »), ce qui tombe bien puisque la vision des données personnelles et la vision médicale se rejoignent.
A l’occasion de Santexpo 2023, Benoit Bresson et Jonathan Lotz, respectivement directeur et directeur adjoint du collectif des GRADeS, ont présenté sa nouvelle gouvernance.
Si la question a pu sembler longtemps secondaire, la cybersécurité est désormais devenue une priorité pour les établissements de santé dont la prise de conscience a été accentuée par la multiplication des cyberattaques ces derniers temps. Et si le risque cyber demeure exceptionnel, quand cela arrive, les dégâts sont immenses. Mieux vaut donc prévenir que guérir et anticiper sa stratégie de cybersécurité. Mais pour cela, les établissements de santé ont besoin de moyens, financiers comme humains.
Le 31 mars 2023, le Journal officiel a publié un décret sur la prise en charge anticipée des dispositifs médicaux numériques à visée thérapeutique et des activités de télésurveillance médicale par l’Assurance maladie.
Les dispositifs médicaux font partie intégrante de la prise en charge médicale, ceux qui intègrent une fonction numérique peuvent générer un grand nombre de données de vie réelle et ouvrent la voie à une médecine plus personnalisée. Ces données permettent, par exemple, de renforcer le suivi entre deux consultations, de contribuer à l’accompagnement thérapeutique, d’anticiper des complications, ou d’améliorer la coordination des professionnels de santé.
La délégation ministérielle au numérique en santé (DNS) a organisé le 12 janvier des Assises citoyennes, lors desquelles les membres d’un comité citoyen ont partagé leurs recommandations afin d’améliorer la prévention grâce au service Mon Espace santé.
L’Europe des données de santé, dont le projet a été présenté en mai dernier, est en cours de construction. Quel rôle tiennent les industriels dans cette partition ? DSIH a tendu son micro à Sara Luisa Mintrone, directrice générale Marketing du groupe Dedalus et présidente du Comité pour la santé numérique de l’association Cocir. Elle nous dévoile également l’importance du développement de cet écosystème pour accélérer la recherche clinique.
20 ans après la Loi Kouchner du 2 mars 2002[1] l’ayant instauré, le régime juridique relatif à l’hébergement de données de santé est sur le point d’évoluer à nouveau avec une version V.1.1 en concertation du référentiel d’exigences HDS de certification.
Breaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.
Le 20 juin, les start-up Arkhn et Owkin se sont associées à l’Inria dans le cadre du projet Oncolab afin de standardiser l’accès aux données de santé de l’IUCT-Oncopole, des instituts Curie et Bergonié ainsi que du CHU de Toulouse.
Alors que la cybercriminalité augmente rapidement en France et dans le monde, le cloud permet de répondre facilement et sans investissements massifs aux enjeux de sécurité, de confidentialité et de disponibilité des services et des données de santé. Mathieu Jeandron, Senior Solutions Architect Manager chez Amazon Web Services (AWS), a expliqué à DSIH les atouts de cette technologie.
Stéthoscopes, aiguilles, tensiomètres… autant d’instruments médicaux sur lesquels s’appuient les soignants pour évaluer, diagnostiquer et traiter leurs patients. Si l’importance de ces appareils est incontestable, les données non structurées du SIH ont aussi un rôle crucial à jouer dans l’aide à la décision médicale et plus globalement dans l'expérience globale du parcours de soins patient. Encore faut-il qu’elles soient bien gérées.
Le groupe ACIAL QCENTRIS, leader européen du Test et de la Qualité logicielle annonce ce jour, son partenariat avec la société Arcad Software, pour maintenir la confidentialité des données de test grâce à l’anonymisation.
Le 10 janvier, Doctolib a annoncé un investissement de 300 millions d’euros en France, en Allemagne et en Italie, dont 80 % seront consacrés au développement des solutions existantes et à la création de nouveaux services pour les professionnels de santé.
Après une nouvelle année assez éprouvante en termes de vulnérabilités, d’attaques subies et contenues, si vous pensiez vous relâcher en cette période de fêtes de fin d’année, je crains que vous ne soyez déçu…
Le 17 novembre, la Caisse nationale de l’assurance maladie annonçait que « Mon espace Santé » pouvait d’ores et déjà être utilisé par 3,3 millions de personnes en France, en rappelant que la généralisation nationale de la plateforme est prévue à partir du début de l’année 2022.
Avec le Système d‘information Territorial d‘Echange et Partage (STEP) de documents médicaux du GHT Haut de Bretagne, ce sont les professionnels des 10 établissements du GHT et ceux du Centre Eugène Marquis (CLCC) qui pourront accéder aux documents patients et à une vue consolidée des rendez-vous alimentés automatiquement par les DPI. Pour concrétiser ce projet, stratégique pour l’amélioration et la sécurisation des prises en charge sur le territoire, le GHT a fait le choix de Maincare.
France Assos Santé a sorti en juillet une étude sur « Les Français et la e-santé » qui montre notamment que, au-delà du boom de la pratique pendant les confinements, la télémédecine s’ancre dans les habitudes des Français.
Je sais pertinemment que nos modestes systèmes d’information de santé français ont logiquement assez peu de chance d’être victimes d’attaques basées sur l’exploitation de vulnérabilités encore inconnues des éditeurs, mais je trouve assez effrayant de voir le nombre de vulnérabilités dites « 0 Day » révélées ces derniers mois…
Traditionnellement, comme chaque deuxième mardi du mois, Microsoft publie son célèbre « patch tuesday » venant corriger en nombre les vulnérabilités affectant ces divers produits, dont les systèmes Windows. Ce n’était déjà pas facile de faire l’analyse de cette ribambelle de vulnérabilités pour savoir ce qu’il fallait corriger et surtout avec quel degré d’urgence, sachant que les vulnérabilités sont de plus en plus vites exploitées, quand elles ne le sont pas déjà bien avant la publication de leurs correctifs…
Mais qu’est-ce qui a donc bien pu passer par la tête du ministre Dupont-Moretti ? Partant certainement d’une bonne intention – de celles dont l’enfer est pavé –, soit la volonté de rendre plus compréhensible le fonctionnement de l’institution judiciaire et de redonner confiance aux citoyens, le ministre souhaiterait filmer les procès. Revenons aux basiques du RGPD : consentement des prévenus (c’est la partie la plus facile), droit d’opposition (idem), mais surtout droit de changer d’avis : tiens, au fait, j’avais dit oui, mais en y réfléchissant je ne veux plus, merci d’arrêter de filmer et surtout d’effacer les images. Les avocats pénalistes interrogés dans la presse sont unanimes : ils conseilleront systématiquement à leurs clients de s’opposer aux prises de vues : imaginez l’effet que produiraient, 10 ou 15 années plus tard, les images sur les réseaux sociaux d’un accusé dans un box qui au final aurait été acquitté ? Rien ne se perd ni ne s’efface au xxie siècle. Certes, le premier procès filmé de l’Histoire a été celui du criminel de guerre Klaus Barbie (1987), mais les images ont été captées à des fins historiques et nullement destinées à être diffusées immédiatement puisque l’INA devait les conserver au secret pendant 20 ans[1].
Alors que les hôpitaux d’Oloron-Sainte-Marie, de Dax et de Villefranche-sur-Saône tentent de retrouver leur rythme normal après une vague de cyberattaques, les menaces en ligne suscitent toujours une grande inquiétude pour le secteur de la santé. Vendredi dernier, l’hôpital de Pontarlier est devenu la nouvelle victime des menaces en ligne. Selon Cédric O, les hôpitaux français ont été victimes de 27 cyberattaques majeures en 2020. Par ailleurs, la Cnil a lancé une enquête pour découvrir les causes de la fuite de données médicales touchant environ 500 000 personnes en France.
Placer la France parmi les pays à la pointe de l’innovation en santé est l’un des objectifs majeurs de Ma Santé 2022 afin de permettre au système de santé de demain de compter sur de nouvelles synergies entre les professionnels libéraux, hospitaliers et médico-sociaux, mais aussi sur des outils numériques performants mis au service de tous, patients et professionnels.
Il est assez rare de voir autant de vulnérabilités zero day corrigées en aussi peu de temps. Google publie des correctifs de sécurité pour Chrome, autant qu’un curé pourrait en bénir, si bien qu’il devient de plus en plus rare qu’il passe plus d’une semaine entre deux patches…
Pour rappel, la déclaration de tout incident de sécurité sur un SI de santé ayant des conséquences potentielles ou avérées sur la sécurité des soins, la disponibilité, l’intégrité ou la confidentialité des données de santé ou encore sur le fonctionnement normal de l’établissement est obligatoire depuis le 1er octobre 2017 [1].
Les Centres Hospitaliers de Saint-Lô et Coutances franchissent un nouveau pas dans la transformation digitale de leurs processus RH en démarrant le déploiement du logiciel Vieviewer RH, une interface web inédite pour visualiser tout ou partie du dossier des professionnels sous la forme d’une ligne de vie chronologique.
Sincèrement, je pensais qu’après les ratés en série dès l’annonce de StopCovid – annonce faite sans vérifier les possibilités techniques du Bluetooth sur les iPhone entre autres – on verrait ce machin tomber lentement mais sûrement dans les oubliettes. Mais non : on va y avoir droit (force est de constater que l’on ne pourra pas reprocher un manque de constance). Petits rappels.
Il est un sujet commun à toutes les organisations (santé, armée, business, etc.) : il s’agit bien entendu de la sécurité du SI.
Près de 80 directions des systèmes d’information des établissements de santé français livrent leurs vision et leurs usages du Cloud dans la récente enquête menée par Nuance* en collaboration avec l’agence APM. Pour 9 DSI sur 10, la tendance est à l’externalisation dans le Cloud. Il n’est plus question pour les répondants de mobiliser d’importantes ressources humaines et financières pour gérer les serveurs et les logiciels de leur établissement de santé.
En cette période de crise et de peur généralisée, alors que certains révèlent leurs plus bas instincts en menaçant des professionnels de santé, en vandalisant leurs voitures et en allant même jusqu’à cambrioler certains cabinets dans le but de leur dérober leurs équipements de protection, comme le rappelle Le Quotidien du médecin [1],« plus je connais les hommes, plus j’aime mon chien », selon la formule de Pierre Desproges.
PandaLab a développé un outil de messagerie instantanée sécurisée de Santé pour les professionnels de santé. A ce jour, la solution est utilisée par plus + de 5.000 utilisateurs professionnels de santé pour plus de 300.000 messages mensuels échangés. Cette opération permet à Malta Informatique et à la Division Solutions pour Établissements Sanitaires et Médico-Sociaux du Groupe Pharmagest de renforcer leurs offres de solutions pour une meilleure coordination des parcours patients.
Pour répondre aux besoins de suivi en ville des patients atteints ou suspectés de Covid-19 confinés sur tout le territoire, les équipes françaises d’Agfa HealthCare mettent à disposition des médecins libéraux et hospitaliers et des équipes de coordination qui assurent le suivi à domicile des malades chroniques, une application dédiée. De chez lui, le patient renseigne quotidiennement un questionnaire de santé précis qui génèrera immédiatement des alertes vers le professionnel de santé qui le suit, en cas de signes de gravité.
À l’ère du numérique, quel établissement de santé, s’il n’a pas encore franchi le pas, n’a jamais songé à mettre en place une solution de prise de rendez-vous en ligne pour ses patients ? Gain de temps pour les secrétaires médicales, redynamisation de l’image de l’établissement et confort pour les patients sont de véritables arguments de persuasion.
Les chercheurs de la société Eset ont publié le 26 février un rapport [1] sur une nouvelle vulnérabilité affectant de très nombreuses puces Wifi utilisant les protocoles WPA2 et WPA2 Enterprise avec un chiffrement AES-CCMP. Ce qui est toujours la norme aujourd’hui, préconisée par l’ANSSI [2]. Il ne s’agit pas ici d’une attaque cryptographique portant sur AES-CCMP, mais bien sur l’implémentation de WPA2 qui est faite dans ces puces.
Je vous le disais la semaine dernière, je pense vraiment que nous n’allons pas nous ennuyer en 2020 ! Je ne sais pas si ce sont les résolutions de la nouvelle année ou si les chercheurs sentent la neige arriver, mais il y a une véritable émulation de leur côté en ce mois de janvier.
Owkin - entreprise française spécialiste des technologies d’IA (Intelligence artificielle) dans la recherche médicale - dévoile aujourd’hui sa collaboration avec NVIDIA et le King’s College London (KCL). Owkin entend démontrer qu’une architecture de Federated Learning (ou “apprentissage fédéré”) est aussi pertinente que le modèle traditionnel d’analyse par centralisation des données mais aussi beaucoup plus sûre pour protéger les données personnelles des patients.
Sans se lancer dans une quelconque théorie du complot ou toute autre polémique anti-Gafam, l’évolution du business modeldu géant américain et de ses produits mérite vraiment de s’interroger. Les données, et en particulier les données de santé, ont aujourd’hui beaucoup plus de valeur que n’importe quelle licence logicielle, ce que savent pertinemment Google ou Facebook, qui, à défaut de les exploiter, auraient probablement mis depuis belle lurette la clé sous la porte.
A l’occasion de son déploiement dans trois établissements hospitaliers de la Seine-Saint-Denis en lien avec Doctolib, Maincare Solutions annonce le lancement de son nouveau eService, IdéoPlan Hub de RDV, construit autour de la norme d’interopérabilité HL7 FHIR. Objectifs : permettre la mise en place de services de RDV en ligne en parfaite synchronisation avec les outils de planification des S.I. hospitaliers et présenter un agenda consolidé du patient au plan territorial.
Ça y est, c’est l’odeur des cartables neufs, des Bic sous blister et des chaussures toutes neuves qui font mal aux petons : il est temps de faire le bilan de l’été. Parce qu’il n’y a pas eu que la canicule, fallait se tenir un minimum informé.
Les informaticiens vous le diront, en informatique, le problème se situe entre la chaise et le clavier. Comme le souligne à juste titre Cédric Cartau, ce qu’ils oublient de préciser, c’est qu’il s’agit très souvent de la chaise et du clavier de l’informaticien lui même !
Comment créer les conditions favorables à l’essor de l’e-santé en France ? Il semble manifestement que le Gouvernement ait pris le taureau par les cornes à procédant à une série d’annonces spectaculaires en la matière.
Le 22 mars dernier, l’Assemblée nationale a adopté, dans le cadre de l’examen du projet de loi relatif à l’organisation et à la transformation du système de santé, la création de l’espace numérique de santé (ENS).
Les plus lus