Les données personnelles de santé: une manne à protéger davantage

Selon une récente étude sur les coûts liés à la perte et au vol des données, réalisée par Ponemon Institute, chaque dossier médical de santé volé ou perdu coûterait en moyenne 355 dollars aux entreprises dont le système informatique a été corrompu (assurances, centres de soin, hôpitaux…). L’étude précise que "les failles visant les industries régulées telles que la santé et la finance sont les plus coûteuses car elles sont soumises à pénalités et entraînement les plus fortes pertes d’activité et de clients".

Si l’étude citée a été réalisée auprès d’une douzaine de pays, une grande partie des cas de vol et de perte de données de santé est aujourd'hui identifiée aux Etats-Unis, où la législation impose aux établissements de déclarer leurs failles auprès du ministère de la Santé. La loi stipule même queles brèches informatiques affectant plus de 500 individus doivent être rendues publiques.

Verdict: au cours des seuls trois derniers mois (du 8 mars 2016 au 8 juin 2016), près d’un million de dossiers médicaux américains ont été corrompus.

Aucune information sur la situation en France

Et en France? Les établissements de soins français ne sont probablement pas épargnés par le vol et la perte de données de santé à caractère personnel. Seulement aucune loi ne leur impose aujourd'hui d’en faire la déclaration.

Mais les choses devraient changer. En effet, un ensemble de textes législatifs encadrant la protection des données personnelles des citoyens européens sera mis en application à partir de mi-2018. Parmi ceux-ci, la directive NIS (Network, Information and Security) qui, une fois transposée dans la loi française, devrait obliger les fournisseurs de services de santé, entre autres, à déclarer à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), à la Commission nationale informatique et liberté (CNIL) et donc aux citoyens concernés, toute intrusion dans leurs systèmes informatiques.

Des patients bientôt mieux informés sur le devenir de leurs données

Enfin, la protection des données de santé passe également par le contrôle que les patients peuvent exercer sur leur propres informations. C’est en tout cas l’objectif du règlement européen 2016/679.

Or, selon Le Figaro, les données personnelles de santé des français seront d’ici quelques mois disponibles à des organismes à but lucratif qui souhaiteraient les exploiter pour réaliser des études d’intérêt général. Ces derniers devront alors s’assurer de respecter les principes de transparence et de finalité définis dans ce règlement.

Autrement dit, les établissements collectant ces données directement auprès des patients devront informer ces derniers de la potentielle réutilisation de leurs informations par des entreprises tierces d’une part, et que ces tiers respectent bien la finalité pour laquelle ils utiliseront ces informations d’autre part.