A lire sur: http://www.cio-online.com/contributions/lire-l-intervention-d-un-prestataire-sur-les-donnees-du-si-obeit-a-des-regles-621.html
(21/10/2013)
La récente mise en demeure d'un centre hospitalier par la CNIL
vient rappeler quelques règles sur l'accès aux données personnelles
contenues dans un système d'information par des prestataires.
Paroles d'experts
(21/10/2013)
La récente mise en demeure d'un centre hospitalier par la CNIL
vient rappeler quelques règles sur l'accès aux données personnelles
contenues dans un système d'information par des prestataires.
L'enfer
est pavé de bonnes intentions dit-on. La difficulté pour une entreprise
de respecter toutes les réglementations qui régissent son activité peut
fournir une illustration au proverbe.
Pour respecter ses obligations au titre du code de la santé publique, le Centre hospitalier de Saint-Malo a manqué au respect de la loi Informatique et Libertés du 6 janvier 1978. C'est du moins ce que considère la Commission Nationale de l'Informatique et des Libertés (Cnil). La mise en demeure adressée le 25 septembre 2013 par la Cnil au Centre hospitalier rappelle qu'une vigilance toute particulière s'impose lorsqu'un tiers intervient sur les données de production d'un système d'information.
Les contraintes légales de l'informatique médicale
Les établissements de santé publics et privés sont soumis à de nombreuses réglementations relatives à leur système d'information, la plupart contenues dans le code de la santé publique. Parmi ces obligations figurent celles d'avoir à procéder à l'analyse de leur activité sur la base des données figurant dans le dossier médical des patients, que ce dossier soit papier ou informatisé.
L'analyse de l'activité s'opère après le codage des actes médicaux dispensés dans l'établissement selon une nomenclature fixée par arrêté. Les résultats de cette analyse sont transmis aux autorités de tutelle. Ces résultats concourent à déterminer le montant du financement de l'établissement par les pouvoirs publics. Dès lors, un enjeu tout particulier s'attache à la qualité des traitements informatiques qui sont opérés sur les données médicales ainsi codées.
Il n'est pas surprenant que les établissements de santé aient eu recours à l'aide de prestataires extérieurs pour assurer le travail de codification des données. Il s'avère que la qualité de l'analyse nécessaire à cette codification influe de manière significative sur les résultats produits et donc, in fine, sur la dotation financière des établissements.
Le contrôle de la Cnil
L'article R6113-3 du code de la santé publique prévoit que les traitements de données nominatives dans chaque établissement de santé font l'objet, avant leur mise en oeuvre, d'une demande d'avis ou d'une déclaration préalable auprès de la Cnil.
C'est justement les conditions dans lesquelles le prestataire est intervenu pour assurer le travail de codification des données qui ont fait l'objet d'un contrôle sur place par la Cnil.
La Cnil a constaté, dans les locaux du Centre hospitalier de Saint-Malo, que le prestataire en question, pour la réalisation de sa mission, s'était vu ouvrir un accès à l'application métier de l'hôpital qui gère les dossiers des patients, avec les mêmes droits que le médecin responsable de l'informatique médicale. Cet accès permettait donc la prise de connaissance des informations médicales des patients. En outre, un accès aux dossiers papier archivés était également fourni au prestataire.
C'est une vue de l'esprit de considérer que seuls des médecins puissent avoir accès aux données de santé de leurs patients. Chacun le sait, la secrétaire d'un médecin accède au dossier des patients du cabinet dans lequel elle travaille.
La réglementation elle-même tient compte de cette réalité. L'article R6113-5 du code de la santé publique prévoit que les personnels placés ou détachés auprès des médecins et qui travaillent à l'exploitation de données nominatives sous leur autorité, ainsi que des personnels intervenant sur le matériel et les logiciels utilisés pour le recueil et le traitement des données sont soumis au secret professionnel.
Le texte prend donc bien en compte la nécessité pour des personnes autres que des médecins de prendre connaissance des données de patients. Le texte assure une protection juridique dans la mesure où ces personnes sont soumises au secret professionnel, dont la violation est punie conformément aux articles 226-13 et 226-14 du code pénal.
Le Centre hospitalier de Saint-Malo avait pris soin, dans le contrat avec son prestataire de services, de stipuler une clause de confidentialité applicable aux personnels de la société prestataire.
Mais la Cnil considère que ces personnels ne sont pas placés « sous l'autorité du médecin » responsable du département information médical. Elle en conclut à la violation du texte, laquelle provoque, pour ainsi dire « par ricochet » une violation de l'article 34 de la loi du 6 janvier 1978. Nous reviendrons sur cet article. La Cnil met donc en demeure le Centre hospitalier de Saint-Malo de rendre inaccessible à des tiers les données patients. Elle prend en outre la décision de publier cette mise en demeure sur son site web.
La décision de la Cnil interroge à plusieurs niveaux.
Le mythe de l'insécurité des données personnelles
Pour respecter ses obligations au titre du code de la santé publique, le Centre hospitalier de Saint-Malo a manqué au respect de la loi Informatique et Libertés du 6 janvier 1978. C'est du moins ce que considère la Commission Nationale de l'Informatique et des Libertés (Cnil). La mise en demeure adressée le 25 septembre 2013 par la Cnil au Centre hospitalier rappelle qu'une vigilance toute particulière s'impose lorsqu'un tiers intervient sur les données de production d'un système d'information.
Les contraintes légales de l'informatique médicale
Les établissements de santé publics et privés sont soumis à de nombreuses réglementations relatives à leur système d'information, la plupart contenues dans le code de la santé publique. Parmi ces obligations figurent celles d'avoir à procéder à l'analyse de leur activité sur la base des données figurant dans le dossier médical des patients, que ce dossier soit papier ou informatisé.
L'analyse de l'activité s'opère après le codage des actes médicaux dispensés dans l'établissement selon une nomenclature fixée par arrêté. Les résultats de cette analyse sont transmis aux autorités de tutelle. Ces résultats concourent à déterminer le montant du financement de l'établissement par les pouvoirs publics. Dès lors, un enjeu tout particulier s'attache à la qualité des traitements informatiques qui sont opérés sur les données médicales ainsi codées.
Il n'est pas surprenant que les établissements de santé aient eu recours à l'aide de prestataires extérieurs pour assurer le travail de codification des données. Il s'avère que la qualité de l'analyse nécessaire à cette codification influe de manière significative sur les résultats produits et donc, in fine, sur la dotation financière des établissements.
Le contrôle de la Cnil
L'article R6113-3 du code de la santé publique prévoit que les traitements de données nominatives dans chaque établissement de santé font l'objet, avant leur mise en oeuvre, d'une demande d'avis ou d'une déclaration préalable auprès de la Cnil.
C'est justement les conditions dans lesquelles le prestataire est intervenu pour assurer le travail de codification des données qui ont fait l'objet d'un contrôle sur place par la Cnil.
La Cnil a constaté, dans les locaux du Centre hospitalier de Saint-Malo, que le prestataire en question, pour la réalisation de sa mission, s'était vu ouvrir un accès à l'application métier de l'hôpital qui gère les dossiers des patients, avec les mêmes droits que le médecin responsable de l'informatique médicale. Cet accès permettait donc la prise de connaissance des informations médicales des patients. En outre, un accès aux dossiers papier archivés était également fourni au prestataire.
C'est une vue de l'esprit de considérer que seuls des médecins puissent avoir accès aux données de santé de leurs patients. Chacun le sait, la secrétaire d'un médecin accède au dossier des patients du cabinet dans lequel elle travaille.
La réglementation elle-même tient compte de cette réalité. L'article R6113-5 du code de la santé publique prévoit que les personnels placés ou détachés auprès des médecins et qui travaillent à l'exploitation de données nominatives sous leur autorité, ainsi que des personnels intervenant sur le matériel et les logiciels utilisés pour le recueil et le traitement des données sont soumis au secret professionnel.
Le texte prend donc bien en compte la nécessité pour des personnes autres que des médecins de prendre connaissance des données de patients. Le texte assure une protection juridique dans la mesure où ces personnes sont soumises au secret professionnel, dont la violation est punie conformément aux articles 226-13 et 226-14 du code pénal.
Le Centre hospitalier de Saint-Malo avait pris soin, dans le contrat avec son prestataire de services, de stipuler une clause de confidentialité applicable aux personnels de la société prestataire.
Mais la Cnil considère que ces personnels ne sont pas placés « sous l'autorité du médecin » responsable du département information médical. Elle en conclut à la violation du texte, laquelle provoque, pour ainsi dire « par ricochet » une violation de l'article 34 de la loi du 6 janvier 1978. Nous reviendrons sur cet article. La Cnil met donc en demeure le Centre hospitalier de Saint-Malo de rendre inaccessible à des tiers les données patients. Elle prend en outre la décision de publier cette mise en demeure sur son site web.
La décision de la Cnil interroge à plusieurs niveaux.
Le mythe de l'insécurité des données personnelles
Page suivante (2/3) > |
Aucun commentaire:
Enregistrer un commentaire