Non, mon médecin n’est pas Data Scientist

Cropped Favicon Economi Matin.jpg
Par Frédéric Saulet Modifié le 8 février 2018 à 14h40
Sante Medecins Donnees Patients Protection
@shutter - © Economie Matin
285 millions ?Le business du big data pesait 285 millions d'euros en 2014.

Cela fait déjà plusieurs années que le monde médical est inscrit dans la transformation digitale. La plupart des médecins sont équipés au minimum d’un ordinateur, mais aussi d’une tablette, d’un smartphone, d’un terminal de paiement ou d’un lecteur de carte vitale....

Le système d’information des hôpitaux, des organismes de santé et des centres de recherche médicale évolue à grande vitesse. La mise en ligne des données et la dématérialisation sont désormais réalité. Si Le progrès constaté et le confort engendré sont importants, les gains de temps considérables, attention à ce que cela ne se transforme pas en cauchemar. Des précautions doivent permettre de tirer l’alarme en cas de défaillance pour que la circulation des données reste au service des patients et ne soit pas détournée.

Préserver le secret médical

La plupart des données collectées et traitées par les professionnels de santé sont accessibles par les patients eux-mêmes, qui disposent d'un droit d'accès direct au serveur de l'établissement. Ainsi, par exemple chaque patient peut consulter et télécharger ses résultats d’analyse, chez lui depuis son système, sans se déplacer jusqu’au laboratoire. Merveille de la technologie, oui, mais à condition que les données médicales confidentielles - prescriptions, résultats d'analyses biologiques et dossiers médicaux complets - ne soient pas accessibles par tous via Google, sur simple requête à partir du nom du médecin ou du patient comme cela s’est déjà produit ! Pour éviter le pire, il faut le prévoir.

Depuis toujours, autant selon l’éthique que par contrainte légale, les professionnels de santé sont tenus au secret médical et conservent par devers eux ou entre eux les dossiers et l’historique de leurs patients. Ce qui est nouveau, ce sont les règles d’usage et de conservation des données médicales. Qu’elles soient hébergées au sein de l'établissement de santé ou confiées à un sous-traitant, les uns et les autres ont obligation de prendre des mesures techniques et de mettre en place l’organisation pour garantir la sécurité, l'intégrité et la confidentialité des données.

Dans ce contexte, toute négligence dans la sécurisation du système informatique engage l’établissement ou le médecin sur les conséquences et peut constituer une violation du droit à la protection de la vie privée, avec ses suites judiciaires. Le patient concerné par la divulgation de ses données de santé peut se retourner contre l'établissement ou le professionnel de santé avec à la clé des sanctions pénales et administratives. Mais un défaut de sécurisation peut engendrer de plus graves dommages encore. La délinquance s’exerce partout, et les cybercriminels agissent quand le butin est profitable, par voie de chantage ou de revente des données à des tiers. Imaginez que les données tombent entre les mains de hackers indélicats et malveillants !

L'accès illicite aux données confidentielles de santé à partir d’internet constitue une violation du secret médical. C’est aussi et surtout la conséquence d'un manquement aux obligations de sécurité et confidentialité par les professionnels concernés. Comment éviter les dérives alors que la consultation en ligne de nos données de santé est inéluctable et que les pouvoirs publics mettront prochainement à disposition de chaque français son Dossier Médical Personnel ?

Protéger les données sensibles

En France, les informations relatives à l’état de santé physique ou psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la loi dite Informatique et Liberté. La Réglementation générale sur la protection des données du Conseil de l’Union Européenne complète la législation française. En pratique, les professionnels de la santé doivent tout faire pour empêcher que ces données soient modifiées ou effacées et que des tiers non autorisés y aient accès. Que la raison en soit une erreur ou une volonté délibérée ne dégage pas leur responsabilité.

Concrètement, un système actif de surveillance des échanges et des flux de données doit être mis en place. Il y faut de la méthode et de la rigueur sur le long terme. Au départ, examiner le rôle et la responsabilité des différents acteurs manipulant les dossiers médicaux est nécessaire pour les sensibiliser aux dangers et les engager à respecter les bonnes pratiques. On détermine ensuite une politique de sécurité et de protection des données. On commence par l’évaluation des risques afin de décider les actions à adopter, en fonction des faiblesses organisationnelles de l’établissement de santé (sous-traitance, turn-over, multiplicité des acteurs et des points d’accès aux données, mobilité des soignants…). Le facteur clé de la maîtrise du risque est la visibilité sur la circulation des données au sein du réseau, en raison des dangers que leur transmission génère. La mise en place d’une solution de SIEM* est le moyen efficace pour surveiller la sécurité des systèmes informatiques, contrôler l'accès aux systèmes où sont stockées les données médicales et recevoir des alertes quand on y accède. Les responsables peuvent agir rapidement en cas d’alerte, bloquant les tentatives d’accès indues. En outre, l’analyse des logs permet une vision complète, circonstanciée, datée et exacte de ce qui a été consulté. On peut ainsi informer rapidement et exactement les organismes de réglementation en cas de violation des données ainsi que configurer des rapports prouvant la conformité à la Réglementation.

Anticiper la mise en place de solutions efficaces

La communauté des entreprises de santé (hôpitaux, cliniques, laboratoires, centres radiologiques…) partage des données vulnérables, offrant une grande surface d'attaque avec de nombreux points d'accès aux cybercriminels de plus en plus habiles à dérober et exploiter des informations personnelles. Faire appel à des experts pour mettre en place dès aujourd’hui ces exigences en matière de sécurité et de conformité est évidemment un gage d’efficacité. L'examen d’une structure organisationnelle, le choix et la mise en place de solutions efficaces, les tests et les mises à niveau nécessaires du système sont nécessaires et affaire de professionnels du SIEM et du log management. Il faut préserver la sérénité des professionnels de santé tout au long du processus qui se doivent à leurs patients. Mon médecin est un utilisateur des services de données, pas un Data Scientist !

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Frédéric Saulet est Directeur Régional Europe du Sud de LogPoint.

Aucun commentaire à «Non, mon médecin n’est pas Data Scientist»

Laisser un commentaire

* Champs requis