Embed Size (px)
Citation preview
Protection des données personnelles etsécurisation des données
Journées d’études des documentalisteset archivistes des ministères sociaux
Paris, 2 février 2012 Jeanne BOSSI, Secrétaire générale de l’ASIP Santé
1- La protection des données personnelles de santé.
2- Les référentiels de l’Agence des systèmes d’informationpartagés de santé (ASIP Santé).
3- La sécurisation des données et la valeur probante dudocument numérique : l’exemple de la CPS
22 février 2012
1 - La protection des données personnelles
- La France dispose d’un cadre juridique très riche qui définit les conditions d’utilisation des données de santé et en assure la protection.
- Il traduit le caractère sensible des données de santé.
- Il peut se décliner autour de deux idées : la protection des droits de la personne et la protection de la confidentialité de données de santé.
2 février 2012 3
La protection des droits de la personne
-Elle se traduit par différentes dispositions législatives.
- code pénal : article 226-13 (secret professionnel)
- code la santé publique : Titre 1er du Livre 1er du code la santépublique relatif aux droits des personnes malades et des usagers dusystème de santé : articles L 1110-4 (droit au respect de la vie privée et ausecret des informations, notion d’équipe de soins) L1111-2 (droit d’êtreinformé), L1111-4 (consentement aux soins), L 1111-8 (cadre législatif del’hébergement), L1111-8-1 (identifiant national de santé) …
- code la sécurité sociale : articles L161-28 et suivants relatifs auxsystèmes d’information de l’assurance maladie et cartes de santé(SNIIRAM, codage des actes, des prescriptions et des pathologies, cartevitale, CPS, RNIAM)
2 février 2012 4
- Les conditions d’utilisation des données de santé sont précisée parla loi du 6 janvier 1978 modifiée relative à l’Informatique, auxfichiers et aux libertés.
Un champ d’application très large : notion de donnée à caractèrepersonnel.
Les grands principes de la loi I&L: finalité, pertinence des données, durée de conservation, information et sécurité.
Des conditions de traitement définies par la loi (article 8-II) et contrôléespar la CNIL : la loi énumère de façon limitative les cas dans lesquels il estautorisé de traiter des données personnelles de santé.
2 février 2012 5
Les conditions de traitement des données de santédéfinies par l’article 8-II de la loi Informatique etLibertés
le consentement exprès de la personne, sauf si la loi prévoit quel’interdiction ne peut être levée par ce consentement
les traitements nécessaires à la sauvegarde de la vie humaine
les traitements mis en œuvre par des médecins ou desbiologistes aux fins de la médecine préventive, des diagnosticsmédicaux ou de l’administration de soins ou de traitements
la recherche médicale
l’intérêt public (ex: les organismes de sécurité sociale)
les traitements de données qui font l’objet à bref délai d’unprocédé d’anonymisation
les traitements d’évaluation des pratiques de soins
Des conditions de recueil et de traitement contrôlées par la CNIL enparticulier s’agissant des mesures de sécurité et d’information.
6
L’information de la personne
Les personnes doivent être informées, lors du recueil, de l’enregistrementou de la première communication des données:
• de l’identité du responsable du traitement,• de la finalité du traitement,• du caractère obligatoire ou facultatif des réponses et des conséquences
d’un défaut de réponse,• des destinataires des données,• de leurs droits: droit d’accès et de rectification, droit de s’opposer sous
certaines conditions à l’informatisation de ses données,• le cas échéant, des transferts de données vers des pays hors UE.
Elles peuvent, à leur demande, être informées sur les données enregistrées etl’origine de celles-ci.
Dans certains cas, le recueil du consentement est requis (recherchebiomédicale, DP, DMP, programmes d’apprentissage)
7
La protection par la sécurité
2 février 2012 8
-article 34 de la loi Informatique et Libertés :
Il appartient au responsable du traitement de prendre toutes précautionsutiles, au regard de la nature des données et des risques présentés par letraitement, pour préserver la sécurité des données et, notamment,empêcher qu’elles soient déformées, endommagées, ou que des tiers nonautorisés y aient accès.
-L’article L.1110-4 du code de la santé publique :
Pose le principe de l’obligation d’utilisation de la carte de professionnel de santé – CPS- ou d’un dispositif équivalent agréé par l’organisme chargé d’émettre la CPS (ASIP Santé) dans des cas qui doivent être déterminéspar décret et prévoit la nécessité de garantir la confidentialité desinformations médicales (décret du 15 mai 2007).
Ces dispositions ont été complétées par la loi HPST du 21 juillet 2009 quiprécisent que l’échange et le partage des données de santé doivent aussirespecter les référentiels de sécurité et d’interopérabilité définis par l’ASIPSanté qui peuvent être approuvés par arrêté ministériel.
2 – Les missions et référentiels de l’ASIP Santé
- L’ASIP Santé est chargée de définir les conditions et les modalités de déploiement des systèmes d’information partagés dans le domaine de la santé et du secteur médico-social.
- Elle s’attache à travers ses projets à la diffusion de référentiels établis dans le respect de la protection des données et pour assurer la sécurité des informations.
- Conformément à la loi, ces référentiels peuvent être approuvés par arrêté ministériel et complètent ainsi le cadre légal.
2 février 2012 9
Le cadre national d’interopérabilité
- L’interopérabilité entre systèmes d’information se définit comme lacapacité qu’ont plusieurs systèmes d’échanger de l’information entre euxet d’utiliser cette information pour que les utilisateurs des systèmespuissent en tirer parti dans leurs actes et leurs décisions au bénéfice dupatient.
- Ce référentiel spécifie les standards à utiliser dans les échanges et lorsdu partage de données de santé entre systèmes d’information, et contraintla mise en œuvre de ces standards par des spécifications d’implémentationdestinées à faciliter le déploiement de l’interopérabilité entre systèmesdans les conditions de sécurité requises.
- Le 27 septembre 2010, la version 1.0 du cadre d’interopérabilité dessystèmes d’information de santé a été publiée sur le site de l’ASIP santé eta vocation à s’adapter aux évolutions techniques.
2 février 2012 10
L’identifiant national de santé
- L’identifiant national de santé ou INS est prévu par la loi (articleL.1111-8-1 du code de la santé publique).
Il est utilisé, dans l'intérêt des personnes concernées et à des fins decoordination et de qualité des soins, pour la conservation, l'hébergementet la transmission des informations de santé. Il est également utilisé pourl'ouverture et la tenue du dossier médical personnel et du dossierpharmaceutique.
Un décret, pris après avis de la Commission nationale de l'informatique et deslibertés, fixe le choix de cet identifiant ainsi que ses modalités d'utilisation.
- La CNIL a émis un avis négatif le 20 février 2007 pour l’utilisation dunuméro de sécurité sociale.
- L’ASIP Santé a publié en novembre 2009 le référentiel d’identification. - Une première version de l’INS est calculée localement (INS-C) à partir des
traits d’identité contenus dans la carte vitale. Depuis juin 2010, le centrenational de dépôt et d’agrément offre un service de référencement deslogiciels permettant le calcul des INS-C.
2 février 2012 11
L’agrément des hébergeurs de données de santé
- Le cadre de l’agrément est fixé par l’article L1111-8 du code de lasanté publique : il s’agit d’organiser le dépôt et la conservation desdonnées de santé dans des conditions de nature à en garantir leurpérennité et leur confidentialité, de les mettre à la disposition despersonnes autorisées selon des modalités définies par contrat et deles restituer en fin de contrat.
- Les conditions de l’agrément sont fixées par le décret du 4 janvier2006 : l’agrément est délivré par le ministre de la santé après avisde la CNIL et d’un comité d’agrément des hébergeurs. Leconsentement de la personne est exigé.
- Le référentiel de constitution des demandes d’agrément, établi àl’issue d’une large concertation menée par l’ASIP santé, est publiédepuis le 24 mars 2009. La liste des organismes agréés est publiéesur le site de l’agence (esante.gouv.fr) : 30 agréments à ce jour.
2 février 2012 12
La sécurité des données de santé
13
- Il appartient au responsable du traitement de prendre toutes précautionsutiles, au regard de la nature des données et des risques présentés par letraitement, pour préserver la sécurité des données et, notamment, empêcherqu’elles soient déformées, endommagées, ou que des tiers non autorisés yaient accès (article 34 de la loi Informatique et Libertés).
- L’article L.1110-4 du code de la santé publique pose le principe del’obligation d’utilisation de la carte de professionnel de santé ou d’undispositif équivalent agréé par l’organisme chargé d’émettre la CPS (ASIPSanté) dans des cas qui doivent être déterminés par décret et prévoit lanécessité de garantir la confidentialité des informations médicales (décret du15 mai 2007).
- Ces dispositions ont été complétées par la loi HPST du 21 juillet 2009 quiprécisent que l’échange et le partage des données de santé doivent aussirespecter les référentiels de sécurité et d’interopérabilité définis par l’ASIPSanté qui peuvent être approuvés par arrêté ministériel.
- Vers l’élaboration d’une nouvelle Politique Générale de Sécurité desSystèmes d’Information (PGSSI).
La sécurité des données de santé
2 février 2012 14
Le RPPS et la CPS
-Créé en 2009, il intègre désormais, grâce au processus de simplificationadministrative les identités des professionnels de santé certifiées enamont par leurs ordres ou autorités d’enregistrement.
-Il emporte la dotation automatique et gratuite en carte CPS des PSinscrits au RPPS. La carte contient un identifiant RPPS (aujourd’hui :pharmaciens, sages-femmes,chirurgiens-dentitstes et médecins).
- Vers un nouveau Référentiel de gestion des identités des ActeursSanitaires et Sociaux (RASS). Il prolonge le RPPS en intégrant lesinformations sur les personnes morales.
La concrétisation de la mise en œuvre du cadre juridique et opérationnel
- Le DMP créé par la loi en 2004 et confirmé en 2009 (articles L1111-14 à L1111-24 du code de la santé publique) dont l’ASIP Santé estchargée de la réalisation et du déploiement, est le premier systèmed’information national intégrant les référentiels de l’agence.
- Pas de DMP sans INS, un hébergeur agréé, une autorisation de laCNIL, une utilisation de la CPS conforme à la loi, des documentsenregistrés dans un même format donc échangeables par dessystèmes communicants.
- Un cadre juridique et opérationnel rappelé par l’ASIP Santé danstous ses appels à projet auquel il convient d’ajouter toutedisposition de nature législative ou réglementaire qui encadreparticulièrement une activité (télémédecine, éducationthérapeutique, maisons et pôles de santé par exemple).
15
3 – La valeur probante d’un document : exemple de la CPS
- La carte de professionnel de santé est la carte d’identitéprofessionnelle électronique du secteur de la santé.
- Elle est délivrée par l’ASIP Santé, autorité administrative decertification désignée du secteur de la santé.
- Cette carte permet la mise en œuvre de fonctions desécurité électroniques avancées telles que l’authentification etla signature.
2 février 2012 16
La carte CPS3La carte de professionnel de santé se modernise
Pourquoi faire évoluer la carte CPS aujourd’hui ? Historiquement cantonnée aux usages de l’assurance maladie (SESAM-Vitale)
la carte CPS doit évoluer aujourd’hui de manière à faire face :• à l’obsolescence de son composant électronique (puce) ;• à l’émergence de nouveaux environnements et services décorrellés de la
feuille de soin électronique (FSE) en particulier dans le secteur des télé-services de santé.
La carte CPS3 est produite par une autorité régalienne (ASIP Santé) ; elleatteste de la qualité professionnelle et fait fonction de carte ordinale• délivrance systématique à tout professionnel de santé (y compris hospitalier)
dès son inscription au RPPS (consécutive à l’inscription au tableau pour lesprofessions à ordre)
Quel est le calendrier prévisionnel de déploiement de la CPS3 ? La nouvelle CPS3 sera diffusée avec un objectif ambitieux de renouvellement
du parc actuel de CPS2 en 1 an et demi à partir de la fin de l’année
17
La carte CPS3
Quels impacts sur le fonctionnement des systèmes existants ? Ce renouvellement sera totalement transparent aussi bien pour les PS que
pour les promoteurs de SI.En effet, la CPS3 offrira à la fois, les fonctionnalités :• de la CPS2ter (compatibilité totale et transparente avec l'existant) ;• cryptographiques avancées du standard IAS ECC (mise à jour du poste de
travail) ;• « sans-contact » permettant d'améliorer l’ergonomie d’usage (après
adaptation des applications pour mettre en œuvre ces nouvelles capacités).
•Technologiquement, la nouvelle CPS utilisera une puce électronique standard : le standardIAS ECC, (pour Authentication, Identification, Signature for the European Citizen Card). Le standard IAS ECC étant enpasse de devenir un standard européen et ayant été repris par l’ANTS [Agence Nationale des Titres
Sécurisés] notamment pour la future carte nationale d’identité et le passeport électronique.
18
La carte CPS3
Quels nouveaux usages pour cette carte et ces certificats émis parl’autorité régalienne d’identification du secteur de la santé? Les usages « sans-contact » émergeront à l’initiative des industriels,
probablement, d’abord ,en environnement hospitalier. L’ASIP réfléchit dès à présent dans le cadre de la PGSSI et avec les
professionnels de santé :• à d’autres familles de solutions d’authentification et de signature pour les
personnes morales (ES, réseaux, cabinets de groupe, …)• à d’autres solutions de confinement pour les certificats (cartes
d’établissement, confinement en phase avec les terminaux mobiles, …)• à d’autres modes de distribution de cartes (cartes associées ou déléguées
par exemple, …)
19
La CPS et la preuve de la signature
- La problématique de la signature électronique est inhérente àtoute transmission de documents nécessitant l’authentification deson auteur.
- En cas de recours au support électronique, la signature doit sefaire à l’aide d’une signature électronique présumée fiable(article1316-4 du code civil).
- Pour que le procédé de signature électronique soit présuméfiable, au sens du décret n�2001-272 du 30 mars 2001 pris pourl’application de l’article L1316-4 du code civil, l’ANSSI a posé desconditions.
2 février 2012 20
- La signature doit être sécurisée, créée par un dispositif sécuriséde création de signature et sa vérification doit reposer surl’utilisation d’un certificat électronique qualifié(dispositif certifiéconforme qui atteste de la certification du procédé).
- La loi du 13 mars 2000 a introduit une distinction entre deuxniveaux de signature : La signature électronique simple avec usage d’un procédé fiable. Dans cecas, le document ne peut être refusé entant que preuve dès lors que leprocédé permet d’identifier le signataire et de garantir le lien avec l’acte signé.Toutefois ne cas de contestation, il conviendra de démontrer la fiabilité duprocédé de signature utilisé. La signature électronique est présumée fiable. Dans ce cas, la charge de lapreuve est inversée.
2 février 2012 21
Application à la CPS
- La carte de professionnel de santé contient les « certificatsCPS », qui constituent des pièces d’identité professionnellesdématérialisées et certifiées par l’ASIP Santé.
La CPS est protégée par un code confidentiel qui contient les « certificats CPS,véritables pièces d’identité professionnelles dématérialisés et certifiées par l’ASIP Santé, etpermettant :
L’identification du professionnel de santé, c’est-à-dire la reconnaissance sanséquivoque de sa personne et de ses aptitudes ; L’authentification, c’est-à-dire la vérification de son identité, La signature électronique de documents ou d’actes, c’est ce qui permet au porteur
de s’engager vis-à-vis du contenu d’un document échangé et de garantir sa nonaltération. Le chiffrement des données échangées, de sorte que seul le destinataire puisse les
lire.
- Ils sont utilisés par leur titulaire comme gages de confiance dansle cadre des applications communicantes utilisant des données desanté à caractère personnel.
2 février 2012 22
Merci de votre attention
