Le Règlement général sur la protection des données (RGPD), règlement de l’Union européenne entré en application le 25 mai 2018, constitue le texte de référence en matière de protection des données à caractère personnel. Les données de santé y occupent une place prépondérante au moment même où les organisations dématérialisent de façon croissante leurs documents.
De quelles données parle-t-on ?
La notion de « données de santé » est vaste. Il s’agit des données concernant la santé physique ou mentale, passée, présente ou future, de toute personne physique.
Il faut retenir trois grandes catégories de données de santé :
celles qui concernent des maladies, antécédents médicaux, prestations, résultats, traitements, handicap, etc.
celles qui permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne.
celles qui sont ou peuvent être destinées à une utilisation médical.
Une actualité inquiétante
Avec le RGPD la question de la protection des données personnelles est devenue un sujet de société à part entière. Et ces données revêtent un caractère d’autant plus sensible lorsqu’elles concernent la santé des individus.
La protection des données personnelles se trouve dès lors au cœur des problématiques de nombreuses entreprises de santé alors même que 91% d’entre elles déclaraient en 2015 avoir subi une violation de leurs données (Source : Ponemon Institute) ! En Août 2019 Stormshield annonçait que le secteur de la santé, hôpitaux en tête, était la première cible des attaques de ransomwares avec, « rien qu’en France, 478 incidents liés à la cybersécurité ». En mars dernier, TecHopital, cellule d’accompagnement cybersécurité des structures de santé (ACSS) de l’Agence du numérique en santé (ANS, ex-Asip santé), publiait une alerte signalant que « le coronavirus est utilisé pour réaliser des cyberattaques ».
Devant les enjeux et dangers considérables auxquels les entreprises de santé doivent faire face, Iron Mountain, le géant mondial de la conservation, de la protection et de la gestion de l’information a créé une offre dédiée afin de répondre de façon très précise à ces nouveaux besoins et dangers.
Marlène Cailleau, responsable du pôle gouvernance de l’information et spécialiste RGPD chez Iron Mountain France explique « Dans nos métiers, nous traitons déjà des données de santé car nos activités initiales consistent à conserver et à gérer les flux papier. Compte tenu de l’évolution du cadre réglementaire et du contexte, nous avons choisi de dédier des solutions spécialisées pour les professionnels de santé de conservation mais également de numérisation et d’hébergement de documents ».
Un spectre élargi
La confidentialité des données personnelles de santé représente un enjeu important à de multiples points de vue. Par exemple, celle-ci entre pleinement dans le cadre de la convention Aeras (s’Assurer et Emprunter avec un Risque Aggravé de Santé) ; une convention visant à améliorer l’accès au crédit pour les personnes malades ou qui l’ont été. Respecter les critères de confidentialité et de protection des données personnelles de santé répond à des règles très strictes qu’il est essentiel de maîtriser.
Faire appel à des sociétés spécialisées dans la gestion de la protection des documents et des données est une garantie de conformité mais aussi de maîtrise des risques. Iron Mountain propose ainsi des solutions logicielles et des services permettant aux entreprises du secteur de la santé de respecter les règles en vigueur et de mieux contrôler les menaces et leurs conséquences qui peuvent être dramatiques.
Des équipes formées et dédiées, associées à des outils sur mesure
Pour pouvoir proposer une offre aussi spécialisée, Iron Mountain a choisi de se faire accompagner par un médecin-conseil qui a formé une cinquantaine de salariés.
« La formation a consisté à expliquer précisément ce qu’est une donnée de santé, à sensibiliser nos collaborateurs sur la confidentialité et à l’obligation stricte du respect des règles idoines ; le non-respect de celles-ci relevant du droit pénal ».
En ce qui concerne l’hébergement des données, l’entreprise s’est adossée à un éditeur agréé et certifié Cofrac, assurant la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données de santé (à savoir la traçabilité, l’impunité et la preuve en cas de contrôle).
Enfin, la numérisation est assurée par les équipes réparties à travers quatre plateformes dédiées.
Comment ça marche ?
« Une grande compagnie d’assurance souhaitait dématérialiser ses documents médicaux. Nous lui avons proposé nos services en lui donnant la possibilité d’héberger elle-même ses données en interne, ou de nous les confier pour les conserver en notre sein. Nous pouvons les lui restituer à tout moment sous la forme d’une clé unique et sécurisée » illustre Marlène Cailleau.
L’offre Iron Mountain, intégrant l’hébergement via son réseau de partenaires certifiés ainsi qu’un outil logiciel entièrement dédié, OnBase, permet de numériser et restituer les données et documents de santé pour une gestion courante et mobile du dossier du patient dans un environnement conforme à la réglementation française. La solution consiste en un portail Web agréé mettant à disposition les informations numérisées accessibles uniquement par authentification forte.
Grâce à son savoir-faire dans le domaine de la gestion globale du cycle de vie des documents, des règles de sécurité et de confidentialité forte mises en place, Iron Mountain répond aux besoins croissants de ses clients en matière de transformation digitale hybride ou totale de leurs documents papier.