Les supports

Les référentiels

La loi Informatique et Libertés protège les données numériques. Cependant l’augmentation croissante de l’utilisation et du stockage des données personnelles de santé au format électronique a rendu nécessaire la mise en place d’un cadre législatif et réglementaire spécifique au secteur de la santé pour garantir la confidentialité des informations de santé et le respect des droits des patients. Les premières modifications importantes du cadre légal sont intervenues avec la loi du 4 mars 2002 relative aux droits des malades.

LA PGSSI-S

La loi sur la modernisation de notre système de santé du 26 janvier 2016 définit la politique générale de sécurité des systèmes d’information de santé : PGSSI-S, introduite dès 2009 par la loi HPST du 21 juillet sur la réforme de l’hôpital.

Véritable doctrine publique de sécurité, la PGSSI-S s’applique à l’ensemble des acteurs intervenant dans les secteurs sanitaire, médico-sociale et social, qu’ils soient publics ou privés. Ses référentiels définissent  les concepts essentiels, comme l’identification, l’authentification et l’imputabilité. Ils seront opposables à compter de 2018.

«L’authentification est toujours précédée ou combinée avec une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté : un identifiant. En résumé, s’identifier c’est communiquer un identifiant présumé, s’authentifier c’est apporter la preuve que l’entité s’est vue attribuer cet identifiant.»

(Référentiel Général de Sécurité – RGS).

Les référentiels PGSSI-S remplacent aujourd’hui les cartes CPS. Elles avaient été instaurées par le décret de confidentialité du 15 mai 2007, afin de sécuriser l’accès aux systèmes d’information contenant des données médicales à caractère personnel à l’intérieur des structures de santé, et pour l’accès à des systèmes d’information externes. 

La PGSSI-S propose également de guides d’accompagnement sur les bonnes pratiques. Par exemple sur les dispositifs connectés, la mise en place d’un accès wifi ou les règles de sauvegarde, … Elle a vocation à structurer l’offre logicielle des industriels.

Le CI-SIS : Cadre d’interopérabilité des systèmes d’information de santé

L’interopérabilité des systèmes est indispensable pour une collaboration efficace des professionnels médicaux et médico-sociaux  dans le parcours de soins du patient. Le CI-SIS fixe les règles d’une informatique de santé communicante, s’appuyant sur des normes et des standards internationaux matures et stables, et élaborées en concertation avec les représentants des professionnels de santé et les éditeurs de systèmes d’information.

Le CI-SIS porte à la fois sur l’interopérabilité technique et des contenus métiers : transport des flux, services d’échange et de partage des données de santé, langage commun permettant le traitement et la compréhension des données de santé par les différents systèmes d’information. Utiliser les règles définies par le CI-SIS facilite l’intégration des systèmes et permet aux acteurs de santé de pérenniser leurs investissements.

L’ASIP SANTE, garantie de l’urbanisation des SIS

L’urbanisation des SIS (Systèmes d’Information de Santé) est une condition nécessaire à la transformation de notre système de santé.

L’ASIP Santé (Agence des Systèmes d’Information Partagés de Santé) est garante de la construction et du maintien d’un espace de confiance numérique et de l’interopérabilité des SIS..

L’ASIP accompagne les différents acteurs dans l’application de la PGSSI-S et des règles définies par la CI-SIS (Cadre d’Interopérabilité des Systèmes d’Information de Santé). Elle définit les concepts de référence et les nomenclatures associées. Elle établit les guides de bonnes pratiques. Elle produit des spécifications opérationnelles et des services mis à disposition des différents acteurs.

L’ASIP fait également autorité en matière de certification des logiciels et des cartes de la famille des CPS, grâce à son infrastructure de gestion des clés (IGC Santé). Elle pilote l’annuaire d’identification nationale des professionnels de santé inscrits dans les répertoires RPPS et ADELI.

Rappel des règles de sécurité en télémedecine

La réalisation d’un acte de télémédecine doit respecter un certain nombre de règles définies par la loi :

  • L’authentification des acteurs participant à l’acte
  • L’information du patient et le recueil de son consentement, dont les modalités selon la présence ou non du patient lors de l’acte
  • La confidentialité et l’intégrité des données échangées et éventuellement hébergées lors de l’acte
    • Pour la sécurisation du transport des données échangées : respect du cadre juridique, appui sur les bonnes pratiques et le cadre d’interopérabilité des SIS (authentification TLS et chiffrement du canal ou mobilisation de la messagerie sécurisée santé)
    • Pour la sécurisation de l’hébergement des données : recours à des hébergeurs de données de santé disposant obligatoirement de l’agrément ministériel
  • La traçabilité des actions réalisées et des acteurs mobilisés

Source issue de l’ASIPS, si vous voulez en savoir plus cliquez ici