Michel Terrot
Question N° 60611 au Ministère des affaires sociales
Question soumise le 15 juillet 2014
M. Michel Terrot appelle l'attention de Mme la garde des sceaux, ministre de la justice, sur la question relative à la protection et à l'anonymat des données médicales personnelles. Une enquête récente réalisée sur un échantillon de 848 patients montre en effet que, face au développement rapide de la télémédecine et des applications de santé mobile, 23 % des patients sont inquiets quant à l'utilisation qui pourrait être faite de leurs données médicales personnelles. Cette étude indique par ailleurs que 39 % des patients craignent que leurs données puissent être utilisées par un assureur à leurs dépens. 70 % d'entre eux placent en haute position d'importance la question de l'anonymat sur les réseaux et le fait qu'on ne puisse faire le rapprochement entre les données collectées et l'identité de l'internaute. Compte tenu de la diffusion très rapide auprès du grand public des terminaux numériques connectés disposant d'applications de surveillance médicale à distance et de transmissions automatique des données médicales personnelles du patient et compte tenu de l'arrivée prochaine du dossier médical personnel qui rassemblera sous forme numérique l'ensemble des informations médicales de chaque Français, il lui demande de bien vouloir lui préciser quelles mesures envisage le Gouvernement pour éviter que ces informations numériques concernant l'état de santé et les pathologies éventuelles des patients ne puissent être consultables ou accessibles par les compagnies d'assurance et mutuelles, sans l'accord formel et réitéré des assurés.
Réponse émise le 30 août 2016
Alors qu'une révolution numérique touche aujourd'hui le monde de la santé, comme de multiples autres secteurs d'activité, ses avantages sont de mieux en mieux perçus pour la qualité du système de santé. Toutefois, corrélativement, des menaces apparaissent et la « cybercriminalité » multiplie les attaques sur les sources de données de santé sensibles et sur les systèmes informatiques des professionnels et les établissements de santé avec un fort risque sur la sécurité des prises en charge des patients. Ce risque n'est pas propre à la France et au monde de la santé mais notre pays s'y prépare activement dans le cadre d'initiatives nationales et de démarches de coopération au niveau européen. Il est essentiel que le développement de l'e-santé (qui inclut le domaine médico-social) et des usages du numérique en santé se fasse dans un cadre de confiance permettant l'acceptation de l'innovation par les citoyens, les patients et les professionnels. Il importe donc que l'Etat et les pouvoirs publics, l'ensemble des acteurs de santé, mais aussi l'ensemble des citoyens prennent toute la mesure de leurs responsabilités dans ce domaine pour en garantir le bon fonctionnement. Pour sa part, en articulation avec le plan gouvernemental contre la cybercriminalité, le ministère des affaires sociales et de la santé a pris la mesure de la menace et conduit avec détermination depuis plusieurs années, un ensemble d'actions visant à assurer un haut niveau de protection des systèmes d'information et des données de santé. Il s'agit bien sûr de lutter contre la malveillance (phénomène de piratage), mais également d'éviter les dysfonctionnements liés à des erreurs humaines ou à un défaut de formation ou de sensibilisation des utilisateurs. La politique de sécurité des systèmes d'information pour les ministères chargés des affaires sociales (PSSI-MCAS), déclinaison de la politique de sécurité des systèmes d'information de l'Etat, a été approuvée par arrêté ministériel du 1er octobre 2015. Par ailleurs, sous le pilotage de la délégation à la stratégie des systèmes d'information de santé (DSSIS), avec le concours de l'agence des systèmes d'information partagés de santé (ASIP Santé), les premiers éléments d'une "Politique générale de sécurité des systèmes d'information de santé (PGSSI-S) " ont été publiés dès 2013 et un ensemble de référentiels et de guides ont été régulièrement produits depuis. La PGSSI-S s'applique à l'ensemble des acteurs de santé, établissements et professionnels, quels que soient les modes d'organisation et les lieux d'exercice. Le dispositif d'agrément des hébergeurs de données de santé mis en œuvre sur la base des dispositions du décret du 4 janvier 2006 s'est fortement développé. Depuis la mise en place du comité d'agrément des hébergeurs, début 2009, 292 dossiers ont été réceptionnés, 138 dossiers ont été agréés, 69 ont été refusés et 57 sont en cours de procédure. Afin de rendre les systèmes d'information plus performants, en particulier en termes de qualité et de sécurité des soins, le ministère a lancé, en novembre 2011, le programme « Hôpital numérique ». Dans ce cadre, un guide pour les directeurs d'établissement de santé « Introduction à la sécurité des systèmes d'information », a été publié en novembre 2013. Il est en cours d'actualisation. Au niveau des régions, il revient aux agences régionales de santé d'assurer le pilotage de l'e-santé et de veiller à la mise en œuvre des mesures de sécurisation des systèmes d'information de santé. La loi de modernisation de notre système de santé (LMSS) comprend un ensemble de dispositions faisant évoluer sensiblement le cadre de l'e-santé dans le sens de la simplification et de la sécurisation de l'utilisation des données de santé. Il convient de citer notamment : - l'obligation de signalement aux ARS et aux autorités compétentes de l'Etat, les incidents graves de sécurité des systèmes d'information prévue par l'article 110 (art. L.1111-8-2 du CSP) ; - 'opposabilité de référentiels d'interopérabilité et de sécurité par voie d'arrêté ministériel (art. 96 de la LMSS et art. L.1110-4-1 du CSP) ; ainsi, il est prévu que les référentiels publiés de la PGSSI-S sur l'authentification et l'identification des acteurs de santé soient rendus opposables par arrêté en 2017 ; - l'article 107 (art. 6132-1 et suivants du CSP) relatif aux groupements hospitaliers de territoires (GHT), confère à ceux-ci une responsabilité en matière de systèmes d'information qui comprend la dimension sécurité des systèmes d'information (le ministère prépare actuellement à l'attention des GHT un guide qui comportera un chapitre sur ce thème) ; - l'article 204-I-5 prévoit que soit définie par ordonnance la réforme du dispositif d'agrément des hébergeurs de données de santé dans le sens d'une certification sur vérification de conformité technique à un référentiel défini par les pouvoirs publics. La Commission européenne mène également une action dynamique en matière de protection des données sensibles et de sécurité du numérique et contribue à construire un cadre juridique adapté avec plusieurs règlements et directives adoptés récemment : - règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (dit « règlement eIDAS) ; -Règlement (UE) no 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ; - projet de Directive (EU) du parlement européen et du conseil on Security of Network and Information Systems (dite Directive « NIS ») adoptée le 6 juillet par le Parlement européen. Ce texte qui doit participer à la construction d'un marché unique du numérique dans l'UE, a pour objectif de renforcer la réactivité des 28 États membres et de stimuler la coopération entre les autorités de lutte contre la cybercriminalité, tout en leur donnant des moyens techniques et légaux appropriés. Lors de la présentation des orientations de la stratégie nationale pour l'e-santé, le 4 juillet 2016, la ministre des affaires sociales et de la santé a notamment insisté sur la nécessaire confiance qui doit accompagner le développement du numérique en santé et a annoncé un plan d'action sur la sécurisation des systèmes d'information.
Aucun commentaire n'a encore été formulé sur cette question.