Sécurité des

données de santé quelques constats

2

Cliquez pour modifier le style du titre

Cliquez pour modifier le style des sous-titres du masque

25/09/2015 2 Orange Healthcare 2013 Mobile Identity – London Nov 2013

3

Cliquez pour modifier le style du titre

Cliquez pour modifier le style des sous-titres du masque

25/09/2015 3

Pas uniquement à la télé

4

La France s’est dotée d’un cadre règlementaire

adapté, bien qu’encore en évolution

• le législateur a encadré l’activité d’hébergement de données de santé à caractère personnel (l’article L. 1111-8 du code de la santé publique. loi n° 2002-303 du 4 mars 2002 relative aux droits des patients) • ces dispositions ont pour objectif d’organiser et d’encadrer le dépôt, la conservation et la restitution des données de santé à caractère personnel, dans des conditions de nature à garantir leur confidentialité et leur pérennité. • le décret n° 2006-6 du 4 janvier 2006 impose aux hébergeurs d’obtenir un agrément pour l’hébergement de données de santé à caractère personnel qui est délivré par le ministre chargé de la santé. • une personne physique ou morale qui exercerait une activité d'hébergement et de traitement de données de santé à caractère personnel sans être agréée encourt des sanctions pénales. • • CDN et Wellness exclus

5

Mais le cadre Français, s’il est suffisamment ambitieux

pour être un socle européen n’est pas universel

6

Réseau sécurisé ?

La plupart des réseau actuels permettent de

déployés des stratégies de sécurité efficaces.

Même ceux pour les objets connecté (Sigfox,

LoRa, etc).

Mais

– Le M2M se fait encore bcp sur GSM, sans

authentification du réseau

– Peu d’implémentation des stratégies de

sécurité

– Le coût de la sécurité est généralement perçu

comme prohibitif

(ex : connected hospital @Home)

7

Couche applicative et authentification forte : un cadre très

précis.

Mais des décisions curieuses de la CNIL

8

Merci !