La Cnil lance une check-list pour les responsables des données de santé

La Cnil a lancé une check-list de conformité pour son référentiel dédié aux entrepôts de données de santé. Un sujet sensible et d'actualité, alors que le Centre Hospitalier Sud Francilien de Corbeil-Essonnes subit en ce moment, une cyberattaque...

Pour aider les responsables des données de santé, la Cnil propose désormais une “check list” de conformité à son référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé. Pour rappel, ce dernier permet aux organisations voulant mettre en œuvre un entrepôt de données de santé conforme, de ne pas solliciter l’autorisation préalable de la Cnil. Si le projet se calque sur le référentiel, elles peuvent directement déclarer leur conformité.

Se conformer au référentiel

La check list « reprend les différentes exigences du référentiel sous forme d’affirmations auxquelles le responsable de traitement répond par “vrai/ faux”, le cas échéant “non applicable”. Toute réponse négative à l’une des questions signifie que le traitement envisagé n’est pas conforme au référentiel », explique la Cnil.

La gestion et la protection des données de santé, qui constituent des données sensibles, est un enjeu majeur. Surtout au regard des évènements récents. En effet, dimanche 25 septembre, les hackers Lockbit 3.0 ont diffusé les données médicales de nombreux patients du Centre Hospitalier Sud Francilien (CHSF), à Corbeil-Essonnes (91).

Des données de santé en circulation sur internet

Sous le joug de cette cyberattaque depuis août dernier, l’hôpital a dû déclencher un plan blanc face au blocage de son réseau informatique (et une demande de rançon de 10 millions d’euros). Si l’établissement n’a pas cédé aux menaces, les hackers ont tout de même mis à mal l’organisation de l’hôpital, impactant notamment la sécurité des patients.

François Braun, ministre de la Santé, promet de protéger “de plus en plus” les hôpitaux.

En plus d’un dépôt de plainte, la Cnil a été saisie. Mais en attendant, les informations critiques des patients (numéro de sécurité social, compte rendu d’examen, mot de passe… selon le CHSF) circulent toujours sur internet. Laissant les concernés vulnérables à des campagnes d'hameçonnage ou de piratage de mails et autres comptes…

Ce sujet vous intéresse? Retrouvez-en davantage dans le magazine Archimag !

Jusqu’où la fièvre des données de santé va-t-elle monter ? Les géants du net et de l’intelligence artificielle manifestent une véritable boulimie à leur égard, tandis que de plus en plus de particuliers en recueillent et en diffusent quotidiennement. Mais avec quelle protection ? Il convient de s’interroger sur le statut des données de santé. En France, le Système national des données de santé offre un cadre et l’hébergement des données de santé est régulé. Du côté des établissements, les Groupements hospitaliers de territoire sont en mouvement. La mutualisation de leurs systèmes d’information touche bien sûr les données des patients. Pas question qu’il y ait une hémorragie.

Acheter ce numéro ou Abonnez-vous