La sécurité des données est un élément crucial dans le choix de vos logiciels métier. La CNIL (La Commission nationale de l’informatique et des libertés) et le COde de la Santé Publique rapellent que le professionnel de santé, est responsable du traitement des données de ses patients, dans le cas d’outils numérique, il délègue la partie technique de collecte, calcul, stockage et restitution à un éditeur de logiciel.
Il est donc nécessaire d’avoir vérifié le niveau de sécurisation des données que propose votre éditeur. Voici quelques clefs qui vous permettront de vérifier que votre éditeur a mis en place un cadre de travail le plus sécurisé possible.
1.L’accès à votre espace et à celui de vos patients est-il sécurisé par une authentification ?
Seule une session créée par une clef unique (souvent une adresse mail, ou un identifiant) et verrouillée par un mot de passe (complexe de préférence), permet d’assurer que les données restent enregistrées dans un espace sécurisé. C’est un peu comme si vous ne mettiez ni serrure, ni porte à une maison …
Sans identification, cela signifie que n’importe qui ayant connaissance d’un lien URL pourrait avoir accès aux informations confidentielles.
2. La collecte des données est-elle transparente ?
La RGPD s’exprime clairement sur ce sujet : la collecte doit être limitée au stricte nécessaire et conservée un minimum de temps.
Normalement, les éditeurs de logiciels doivent rendre disponible un document de « Politique de Protection des Données« qui renseigne les éléments collectés, la raison et le traitement effectué sur chacun.
Concernant l’usage des cookies tiers, la CNIL a été alertée par l’usage d’outils tels que Google Analytics par certains éditeurs historiques entraînant des questions éthiques de traitement des données aux U.S. L’usage de cookies tiers doit être clairement explicité, certains éditeurs n’utilisent pas ce type de technologie et n’échangent aucune données d’utilisation avec des logiciels tiers.
3. Comment s’effectue le stockage des données de santé ?
Héberger les données de santé sur des serveurs dédiés est un préalable encadré par la réglementation.
Par contre, les meilleures infrastructures ne suppriment pas complètement le risque de fuite des données, en cas d’attaque. Seul le cryptage des données permet une garantie maximale, car il permet de rendre exploitable les données en cas de fuite.
4. L’éditeur de logiciel a t’il reçu un label ou une reconnaissance qui pourrait appuyer son sérieux ?
Il existe plusieurs labels attribués par les Groupements d’Intérêt Public (Sésam Vital, Assurance Maladie, BPI , …) qui peuvent rassurer les clients de la charte de bonne pratique mise en place par l’éditeur de logiciel.
Les stores (Play Store et Apple Store) sont devenus d’excellentes barrières à l’entrée, par une vérification minutieuse des éléments de RGPD (Réglementation Générale de la Protection des Données). Si un logiciel possède une application mobile accessible sur les stores, c’est qu’elle valide un certain nombre de point de sécurité. Dans certains cas, l’entreprise peut avoir développé des partenariats avec d’autres. Il s’agit de marqueurs de confiance, puisque cela signifie que pour l’entreprise partenaire, la charte technique est suffisamment sécurisée pour qu’elle accepte que leurs noms soient associés.
5. Ce logiciel est-il bien accepté par votre Pare-feu ?
Faites confiance à votre système de sécurité mobile ou P.C !
Ce n’est pas à l’appareil de s’adapter à une mise à jour logiciel, mais bien à l’éditeur de logiciel de faire en sorte que le produit délivré offre toutes les garanties en matière de sécurité des données et de votre appareil.
Vous ne devriez pas accepter de « désactiver les agents de sécurité WEB pour l’URL d’un site » , ni de désactiver des informations de sécurité de votre téléphone pour connecter votre carte SIM à une pseudo application (non référencée sur les Stores) …
Vous l’aurez compris, il nous a été remonté pas mal de pratiques douteuses concernant la sécurisation des logiciels en E-Santé. Nous avons rédigé cet article en nous basant sur l’état de l’art en matière de sécurisation des données, avec les connaissances du mois de Mars 2022 et ferons notre possible pour maintenir ces éléments à jour.
Car tout comme vous construisez une relation de confiance avec vos patients, vous devez construire une relation de confiance avec votre éditeur de logiciel …
