De la santé des patients à la sécurité de leurs données
Data Protection Officer depuis mai 2018 – à une date proche de la mise en application du RGPD – et issu du milieu soignant, Christophe Le Callonec s’est orienté vers la sécurité informatique et la dématérialisation des données, ce qui l’a progressivement amené à occuper ses actuelles fonctions de DPO/RSSI sur l’ensemble des cliniques SSR Clinalliance et le réseau EHPAD Repotel.
« Mes premières actions ont consisté à faire un état des lieux de l’existant et à analyser les risques avec les différents acteurs des établissements, qu’ils viennent des ressources humaines ou du monde juridique. », commence Christophe Le Callonec. Dans les missions d’un DPO, toutes les actions sont prioritaires et se font au coup par coup : « Elles sont lancées sur une période de deux ans, certaines sont finalisées, d’autres sont en cours. Nous faisons un point tous les 6 mois avec la direction afin de savoir vers quels axes nous allons orienter nos priorités. »
Les missions du DPO couvrent un large champ et la priorisation d’une action en engendre d’autres : « D’un côté, on va avoir le consentement des patients, requis pour certains actes médicaux, mais aussi la mise en conformité des ressources humaines concernant les soignants et l’hébergement des données de santé. »
Très proche du service informatique sur le plan technique, « le DPO apporte ses connaissances sur l’aspect fonctionnel et organisationnel pour la mise en place d’actions de sécurité. Côté juridique, les échanges avec des cabinets d’avocats et de juristes représentent une part non négligeable de ses missions. »
Une veille sur les référentiels de la CNIL et des outils métiers fait partie du quotidien : le logiciel PIA (Privacy Impact Assessment) de la CNIL est l’un des incontournables pour effectuer des analyses d’impact, par exemple. En complément les formations de l’APSIS (Agence pour la Protection de la Sécurité des Informations de la Santé) donnent des outils pour la sécurité informatique.
DPO/RSSI : même combat ?
Les fonctions de RSSI s’articulent parfaitement avec celles du DPO car ce dernier doit faire appel à une base juridique concernant la sécurité informatique : « Le RGPD s’y prête parfaitement car il conseille sur les actions à mettre en œuvre selon les cas, » confirme Christophe Le Callonec, « d’une manière générale, ces deux postes se complètent et sont amenés à se côtoyer tout le long de leurs missions, car ils mènent ensemble un plan d’action répondant aux exigences du RGPD et de la loi Informatique et Liberté. »
Au niveau réglementaire, le DPO s’appuie notamment sur la PGSSI-S Politique Générale de Sécurité des Systèmes d’Informations de Santé qui regroupe les référentiels d’exigences et des guides pratiques permettant de définir un périmètre de sécurité des SIH selon un contexte donné.
« On va mener une analyse de risques et un plan d’action sur un certain nombre d’années, en fonction des moyens des établissements. En s’engageant dans des programmes comme HOP’EN, nous nous mettons à la disposition de la CNIL et des tutelles afin qu’ils puissent effectuer leurs contrôles. »
Le défi est de faire comprendre aux acteurs l’importance de ce référentiel, avec un langage dénué de vocabulaire technique d’où les formations pratiques permettant de vulgariser ces exigences.
Sensibilisation et formation
La sensibilisation et la formation à la sécurité se fait sur le terrain, au contact des acteurs du monde médical, où chacun a la possibilité d’obtenir des réponses à ses interrogations. La comparaison vie privée/professionnelle est celle qui a le plus d’impact pour le public : « La protection du privé passe par celle du professionnel. Cela rend d’autant plus audible notre discours au sein des plénières que nous organisons dans les établissements. »
Des cellules inter établissements, nommées par les usagers, englobent ces derniers ainsi qu’une partie de la direction où elles revoient, avec le DPO, les droits des patients. Cette instance produit un compte rendu qui est ensuite diffusé aux seins des locaux afin de faire des rappels de sensibilisation aux soignants.
« Ces comptes rendus sont diffusés de manière collective et individuelle avec le logiciel qualité/gestion des risques BlueKanGo, doté d’un portail web visible par le personnel. Cependant, il faut admettre que les soignants sont sensibilisés sur les droits des patients. De même qu’il y a une montée progressive de connaissances du RGPD au niveau du patient. L’information circule et nous recevons beaucoup de demandes de leurs parts sur leurs droits. »
Si certains soignants sont déjà très au fait de ces problématiques, d’autres ont une meilleure visibilité sur l’impact d’un manque de protection des données. « Ce constat ne doit pas sous-estimer les actions de sensibilisation », insiste Christophe Le Callonec, « qui permettent de pallier aux doutes et aux interrogations de chacun. De plus, nous mettons en place des audits, pour juger de l’adaptabilité de ces actions auprès du personnel et des patients, mais nous formons aussi des référents locaux afin d’avoir des relais compétents dans les établissements. »
Cela va dans le sens du projet de loi Ma Santé 2022 et du programme HOP’EN car leurs prérequis parlent déjà du RGPD, du DPO et de la mise en place d’un registre de traitement.
Risques et menaces informatiques
L’analyse de risques effectuée par le DPO va pointer des faiblesses qui permettront de mener des actions appropriées et correctives : audits de sécurité, sensibilisation, tests d’intrusion… « Nous sécurisons chaque périmètre et habilitation sur les logiciels et mettons un point d’orgue à ce que les fonctions de chaque acteur soient identifiées. Ces dernières étant limitées par un périmètre bien précis, il est primordial de savoir à quels accès ont droit les comptes d’utilisateurs ».
Pour notre DPO, les risques sont liés à un manque de moyens ou à des règles non adaptées aux utilisateurs : « Il faut mettre en place des règles et des limites claires et bien définies. Quand les utilisateurs ne disposent pas des informations nécessaires pour bien exécuter leurs tâches, ils usent de moyens informels qui peuvent être sources de risques pour l’organisation. C’est l’un des objectifs de Ma Santé 2022 : donner les moyens d’appliquer correctement les règles imposées. »
La démocratisation de l’open data a pour conséquence un accroissement de vigilance au niveau sécuritaire En cas de risque grave ou d’attaque, l’établissement a pour obligation de remonter l’information au Ministère de la Santé, qui la communiquera aux autres établissements, assurant un maillage beaucoup plus resserré que par le passé.
« Que ce soit par de la sensibilisation, l’application de procédures ou des outils exploitant l’intelligence artificielle, tous les moyens sont bons pour lutter contre les attaques, » confirme Christophe Le Callonec, « Mais les experts restent unanimes, si un intrus veut accéder à un système, il le fera. Il faut surtout savoir quel impact aura cette intrusion sur les données, afin d’être en mesure d’en limiter les dégâts. »
Christophe Le Callonec insiste sur la corrélation entre les moyens déployés par les DSI pour protéger les données et ceux des pirates pour les subtiliser : « Si nous cherchons à toujours mieux nous protéger, ils développent de nouvelles manières de s’introduire pour obtenir l’objet de leurs convoitises. La protection des données du patient constitue le socle de notre mission. »
Des fonctions pluridisciplinaires
Au-delà des compétences juridiques et techniques concernant la sécurité informatique, Christophe Le Callonec ajoute « Un DPO doit pouvoir fédérer les acteurs qui vont l’aider dans la mise en conformité du RGPD, mais aussi savoir discuter avec d’autres interlocuteurs, qu’ils soient juristes, soignants, médecins ou informaticiens. Cela nécessite une transversalité et une organisation optimale pour déléguer les tâches aux meilleurs acteurs. »
La connaissance de l’univers hospitalier constitue un plus car le monde soignant est différent d’une entreprise. Il comprend un fonctionnement et une articulation de services propres à cet univers, du fait de ses acteurs qui sont au plus près des patients (médecins, soignants, brancardiers…).
« On découvre un nouveau versant du DPO au fur et à mesure car cette fonction englobe plusieurs compétences. Le fait que le programme HOP’EN insiste sur le volet de la sécurité informatique ce qui va de pair avec la mise en conformité du RGPD permettra de renforcer la protection des données à caractère personnel de nos patients. », conclut Christophe Le Callonec, « C’est révélateur d’un versant mélioratif de la sécurité informatique au niveau du secteur de la santé. »
Isaac Tarek
