Données de santé : Gestion des risques juridicotechnologiques

Documents pareils
La Révolution Numérique Au Service De l'hôpital de demain JUIN 2013 Strasbourg, FRANCE

Direction de l administration pénitentiaire Le placement sous surveillance électronique mobile

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

L impact du programme de relance sur le projet régional 19/05/2009 COPIL AMOA 1

Mise à disposition d un outil CRM aux MOAR pour soutenir le déploiement des SIS. Vendredi 13 janvier 2012

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Recommandations sur le Cloud computing

Le téléphone portable: instrument sauveur ou diabolique?

La responsabilité juridique des infirmiers. Carine GRUDET Juriste

et développement d applications informatiques

CRM e-santé. Conditions d utilisation par les maîtrises d ouvrage régionales

Un logo connu mais des activités mal connues!

Le Dossier Médical Personnel et la sécurité

Règlement d INTERPOL sur le traitement des données

Projet de santé. Nom du site : N Finess : (Sera prochainement attribué par les services de l ARS) Statut juridique : Raison Sociale :

7 avril 2009 Divulgation de données : mise en place du chiffrement au sein des PME

UNE POLITIQUE DE SANTÉ POUR UN TERRITOIRE RURBAIN

Devenez concepteur et gestionnaire d activités récréatives et sportives en milieux rural et montagnard

Cahier des charges des maisons de santé pluri-professionnelles pouvant bénéficier d un soutien financier

Toute utilisation du site doit respecter les présentes conditions d utilisation.

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Organiser une permanence d accès aux soins de santé PASS

RÉPUBLIQUE FRANÇAISE. MINISTÈRE DE l'emploi ET DE LA SOLIDARITE. Paris, le

Point d actualité DMP et Messageries Sécurisées de Santé

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Conseil. en Organisation et Gestion de Bloc Opératoire. tel : +32 (0) fax : +32 (0)

SADIR assistance, Prestataire de Santé à Domicile (PSAD)

ANNEXE 3 ASSISTANCE MÉDICALE

DMP Compatibilité : une offre logicielle qui couvre la majorité des médecins de ville

La Mutualité. Française. Rhône. dans le. Des services de soins et d accompagnement mutualistes pour une santé solidaire

Le nouveau tableau de bord de gestion

Charte régionale des Réunions de Concertation Pluridisciplinaire de PACA, Corse et Monaco

Questionnaire du projet Innocence

Auditabilité des SI et Sécurité

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

MODULE 2 : VEILLE & ANALYSE DE DONNÉES

GUIDE PRATIQUE DU PROJET DMP EN ÉTABLISSEMENT DE SANTÉ

Maisons de Santé Pluridisciplinaires. Conditions d éligibilité à des soutiens financiers

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

lysse L assurance des voyageurs européens dans le monde entier international [ LA MOBILITÉ ] PARTICULIERS

La protection de vos données personnelles

E-RÉPUTATION ET MAUVAISE RÉPUTATION

Management des risques

ARRÊTÉ du. relatif au cahier des charges de santé de la maison de santé mentionné à l article L du code de la santé publique.

SESSION 2012 UE 3 DROIT SOCIAL. Durée de l épreuve : 3 heures - coefficient : 1

Service Municipal d Accueil Postscolaire

CHARTE ÉTHIQUE ET DÉONTOLOGIQUE APPLICABLE AUX PÉDICURES-PODOLOGUES ET À LEURS SITES INTERNET À L ADRESSE DU GRAND-PUBLIC

Montrer que la gestion des risques en sécurité de l information est liée au métier

SYSTEMES D INFORMATION EN SANTE Journée régionale du 12 janvier Blois

Les données à caractère personnel

Conditions Générales d Utilisation de la plateforme depot-doublage.fr

Information aux patients et à leurs proches. Espace médiation. Lieu d écoute et de dialogue pour les patients et leurs proches

BULLETIN D ACTUALITES JURIDIQUES

Plateforme Lorraine de services mutualisés pour l échange et le partage de données médicales 16/02/2009

Journées de formation DMP

Résoudre ses problèmes de performance en 4 clics!

LE FINANCEMENT. MSPD Eric Fretillere Conseil Régional de l Ordre des Médecins d Aquitaine CDOM 47Page 1

Cadre juridique de la Protection des Données à caractère Personnel

BYOD : Suppression des frontières numériques professionnelles

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

isit Assur L assurance spéciale Visa Schengen pour les visiteurs étrangers en France international [ LA MOBILITÉ] PARTICULIERS

«La prison est la seule solution pour préserver la société.»

au service de chacun!

Etablissement S.A.S. / ARPADE. Services d Accueil et de Soins. - Livret d accueil -

Aide à l installation des Maisons de Santé Pluridisciplinaires en zones médicalement sous équipées

Guide pratique spécifique pour la mise en place d un accès Wifi

Volet Compte-Rendu d Hospitalisation (CRH)

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

L entreprise face à la Cybercriminalité : menaces et enseignement

Être plus proche, mais pas à n importe quel prix

LESPORT ÊTRE VIGILANT POUR PRÉSERVER

REFERENTIEL D AUTO-EVALUATION DES PRATIQUES EN ODONTOLOGIE

L hôpital dans la société. L expérience du CHU de Paris, l AP HP. Pierre Lombrail, Jean-Yves Fagon

SOLUTIONS ET MOYENS DE PAIEMENT DU E-COMMERCE : RETOUR D EXPÉRIENCE SUR LES ÉVOLUTIONS DE LA RÉGLEMENTATION EUROPÉENNE ET LES PERSPECTIVES MAROCAINES

Le DMP en Bretagne. Assemblée générale ANIORH. Vendredi 7 Décembre 2012

Les exercices cliniques en ville

La Télémédecine dans le cadre de la Plateforme Régionale Santé de Martinique

Expert. en Protection Sociale Complémentaire

PRESENTATION DU RAPPORT DU GROUPE DE TRAVAIL DU CONSEIL NATIONAL DE L AIDE AUX VICTIMES SUR LA PRISE EN CHARGE DES VICTIMES EN URGENCE

2. Le placement sous surveillance. électronique mobile La rétention de sûreté 164

Télésanté et Télémédecine 24h/24 et 7j/7

Nouveaux rôles infirmiers : une nécessité pour la santé publique et la sécurité des soins, un avenir pour la profession

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Lignes. directrices. droits. d enfants. d accès. Pour l expertise en matière de garde. et des. février 2oo6

Tarifs de l hôpital universitaire pédiatrique de Bâle (UKBB)

87 boulevard de Courcelles PARIS Tel : Fax : contact@haas-avocats.com

Certification V2014. Un dispositif au service de la démarche qualité et gestion des risques des établissements de santé. Juillet 2013 ACC01-F203-A

Les cyber risques sont-ils assurables?

PROGRESSONS MAIN DANS LA MAIN EN IMPLANTOLOGIE

Notions de responsabilité. Commission Technique Régionale Est

TEMPS D ACTIVITÉ PÉRISCOLAIRE (TAP) RÈGLEMENT INTÉRIEUR Commune de Mallemort

CODE DE VIE

10 ENGAGEMENTS, 30 PROPOSITIONS DE LA MAJORITÉ DÉPARTEMENTALE «Avec vous, une Saône et Loire innovante et attractive»

APRES TOUT ACTE DE MALTRAITANCE. 3. Elaboration des recommandations de pratique. 4. Diffusion au personnel des recommandations.

Causes d insatisfactions du patient pris en charge en ambulatoire

Fiche informative sur les droits et responsabilités en ligne

recommandation de relations publiques

Quel cadre légal pour l exploitation des «Big data»? Jean-François Forgeron

CAHIER DES CHARGES Pour la mise en œuvre d une maison de santé pluridisciplinaire En Lot-et-Garonne

Transcription:

TOUS DROITS RÉSERVÉS - CABINET HAAS Données de santé : Gestion des risques juridicotechnologiques? Yaël COHEN-HADRIA Avocate Cabinet HAAS Directrice du Pôle Données personnelles et vie privée

PLAN Introduction : MESURE DU RISQUE Le référentiel légal et technologique Partie 1 : RISQUE TECHNOLOGIQUE La dématérialisation des données de santé Partie 2 : RISQUE JURIDIQUE Les responsabilités et enjeux associés aux données de santé Partie 3 : DISCUSSION DES ENJEUX DE L OPEN DATA Les enjeux associés à l ouverture de l accès aux données de santé contact@haas-avocats.com 2

Introduction : MESURE DU RISQUE Le référentiel légal des données de santé Loi n 78-17 du 6 janvier 1978 (article 8 et chapitres IX et X) dite loi «Informatique et libertés» Code pénal (articles 226-19 et 226-19-1) Code de la recherche (articles 225-1 et 225-2) Code de la santé publique (notamment le chapitre Ier du titre 1 de la première partie sur l information des usagers du système de santé et expression de leur volonté) Code plus spécifiques tels que le Code de l éducation, du sport ou le Code rural et de la pêche maritime Haas 2014 contact@haas-avocats.com 3

Introduction : MESURE DU RISQUE Le référentiel technologique 2002-2004 Ère de l usager 2004-2008 Ère du consommateur 2008-2012 Ère de l internaute 4 ÈRES SE SUPERPOSENT 2012-? Ère du mobinaute? Haas 2014 4

PARTIE 1 : RISQUE TECHNOLOGIQUE I. CONTEXTE II. ANALYSE DU RISQUE III. MESURE DU RISQUE IV. MOYENS DE LIMITER LE RISQUE Haas 2014 contact@haas-avocats.com 5

Partie 1 : RISQUE TECHNOLOGIQUE Contexte Modernisation du système de santé développement des technologies et à la dématérialisation des données dans un objectif certain : facteur de progrès, de qualité et d efficacité! Collaboration entre professionnels de la santé interopérabilité accrue entre les divers systèmes d informations des centres de santé, des professionnels libéraux dits de ville et l équipe de soin mais également avec des professions non médicales dans l intérêt du patient contact@haas-avocats.com 6

Partie 1 : RISQUE TECHNOLOGIQUE Analyse des risques liés à la techno Vidéosurveillance / géolocalisation dans les établissements hospitaliers Les bracelets électroniques d alarme Les systèmes de monitoring à distance par Internet Télémédecine contact@haas-avocats.com 7

Partie 1 : RISQUE TECHNOLOGIQUE Analyse des risques liés à la transmission Risques pouvant entrainer des erreurs de diagnostics, des retards d interventions chirurgicales ou des erreurs médicales : Retard ou absence de transmission de données Défaut d intégrité des données de santé Défaut de confidentialité divulgation de données de santé MENACES : «l attaque logique de l équipement, notamment par exploitation de vulnérabilités de ses logiciels ; l introduction ou l activation de codes malveillants dans l équipement ; la perturbation de fonctionnement de l équipement à partir du SIS ou de son réseau ; la capture ou la modification de données sur la liaison entre l équipement et le SIS ; l accès illicite à l équipement, et l introduction ou l extraction de ses données ; le mésusage de l équipement par une personne autorisée ; la modification non autorisée des logiciels de l équipement.» (ASIP SANTE) 8 contact@haas-avocats.com

Partie 1 : RISQUE TECHNOLOGIQUE Mesure du risque Selon un article publié par la Mutualité française le 20 Mars 2013, la CNIL a reçu 51 plaintes de la part de patients et d établissements de santé, victimes de divulgation d informations médicales sur Internet. Selon le même article, à Marseille, les données d une étude de médecins travaillant sur des bébés prématurés ont été rendues accessibles à la population car elles avaient été stockées chez un hébergeur non agréé par le Ministère de la Santé Haas 2014 contact@haas-avocats.com 9

Partie 1 : RISQUE TECHNOLOGIQUE Mesure du risque Taper son nom sur Google et voir apparaître son dossier médical? C est possible! des données issues de l'hôpital Foch de Suresnes ou encore du Pôle de santé du Plateau, qui regroupe les cliniques des Hauts-de-Seine, se sont retrouvées sur Internet, à cause d une erreur d un hébergeur non agréé déjà en Juin 2012, 375 dossiers d'une clinique de Troyes avaient été indexés sur Google. contact@haas-avocats.com 10

Partie 1 : RISQUE TECHNOLOGIQUE Solutions pour limiter les risques Un plan de progrès doit être mis en place pour AGIR SUR: la structure et l organisation du responsable de traitement des données les données de santé collectées et leur support de collecte et de conservation les modalités de transmission et d accès aux données les sources extérieures de risques Les impactes et conséquences de la prise de risque contact@haas-avocats.com 11

Partie 1 : RISQUE TECHNOLOGIQUE Solutions pour limiter les risques Des règles strictes de communication sont nécessaires au niveau : des structures de soins (dossiers informatisés, hospitalisation à domicile) ; des relations entre les structures et les acteurs de la santé (télémédecine, concertation pluridisciplinaire) ; de la coordination des soins (DMP, RPPS) ; de la recherche et de la santé publique (essais cliniques, pharmacovigilance etc.). contact@haas-avocats.com 12

Partie 1 : RISQUE TECHNOLOGIQUE Solutions pour limiter les risques Définir des règles d accès aux données dans le SIS: Règles d or pour la gestion des habilitations Modèle d habilitation Organisation et processus de gestion des habilitations Processus de contrôle Haas 2014 contact@haas-avocats.com 13

PARTIE 2 : RISQUE JURIDIQUE I. CONTEXTE II. ANALYSE DU RISQUE III. MESURE DU RISQUE IV. MOYENS DE LIMITER LE RISQUE contact@haas-avocats.com 14

Partie 2 : RISQUE JURIDIQUE Contexte Accès à des données de santé par les professionnels de ce secteur ou non = régime de responsabilité spécifique à sa situation (responsable de traitement, personne habilitée à accéder au traitement, sous-traitant etc.). Bloc d obligations légales et règlementaires en rapide évolution (Loi Informatique et Libertés de 1978, Code de la santé publique, référentiels techniques de la PGSSI-S etc.). contact@haas-avocats.com 15

Partie 2 : RISQUE JURIDIQUE Contexte - Les données sensibles Les données biométriques Les données génétiques Les infractions, condamnations et mesures de sureté Le numéro de sécurité sociale Les difficultés sociales contact@haas-avocats.com 16

Partie 2 : RISQUE JURIDIQUE Contexte - Les données interdites Santé et vie sexuelle Appartenance syndicale Origines raciales ou ethniques Opinions philosophiques Opinions religieuses Opinions politiques contact@haas-avocats.com 17

Partie 2 : RISQUE JURIDIQUE Contexte - Les données interdites Principe : Article 8-I de la loi I&L Interdiction de collecter les données Conditions strictes de licéité de leur traitement Exception: Article 8-II de la loi I&L contact@haas-avocats.com 18

Partie 2 : RISQUE JURIDIQUE Analyse du risque : principales autorités de contrôle La CNIL - a augmenté son nombre de contrôle dans le domaine de la santé ; - Exemple : mise en demeure d un centre hospitalier de St Malo fin 2013 pour remédier à des failles de sécurité et confidentialité. La HAS - délivre des accréditations aux établissements de santé; - délivre des certifications aux établissements de santé. - contrôle et peut retirer ces accréditations et certifications. contact@haas-avocats.com 19

Partie 2 : RISQUE JURIDIQUE Mesure du risque Risques Responsabilité Contrôles CONSEQUENCES responsabilité pénale (article 226-16 du Code pénal punit de 1.5 millions d euros et 5 ans d emprisonnement pour non respect de la loi Informatique et Libertés) ; impact médiatique néfaste pour l établissement contrôlé et sanctionné ; Création de nouveaux enjeux économiques (intensification des négociations pour les contrats de sous-traitance, d hébergement etc.). contact@haas-avocats.com 20

Partie 2 : RISQUE JURIDIQUE Solutions pour limiter les risques Auditer son SI pour relever les failles et estimer le niveau de manquement Mettre en place un plan d actions adapté, en fonction du degrés de risque acceptable et souhaité par la direction Adopter une charte Informatique ou la mettre à jour Constituer un Comité de Gestion du risque afin d étudier l opportunité de mettre en place les outils juridiques tels que le Guide des opérations de contrôles ou la PSSI. Le cas échéant préparer et adopter ces documents Prévoir des contrôles de maintien en conformité contact@haas-avocats.com 21

PARTIE 3 : OUVERTURE SUR L OPEN DATA I. CONTEXTE II. DISCUSSION contact@haas-avocats.com 22

PARTIE 3 : OPEN DATA Référentiel légal L'ouverture des données publiques est fondée sur la loi n 78-753 du 17 juillet 1978 relative au droit d accès aux documents administratifs, ainsi définis : «quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l'etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, directives, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions et décisions. ( )» (article 1er). 23

PARTIE 3 : OPEN DATA Définition OPEN DATA concerne les «données publiques» OPEN DATA = C est la mise à disposition des internautes d'informations détenues par le secteur public Article 1 de la loi CADA du 17 juillet 1978 : Une donnée recueillie «dans le cadre de leur mission de service public, par l État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d une telle mission» Exemple : statistiques, cartographiques, horaires, données économiques, sociales, touristiques ou encore financières sur le territoire 24

PARTIE 3 : DISCUSSION Possibilité d anticiper les épidémies, de créer des remèdes, de séquencer l ADN. Nouvelles technologies et partage des informations de santé apportent des bienfaits contact@haas-avocats.com 25

A VOUS DE JOUER Avez-vous des observations/ des questions?

HAAS SOCIETE D'AVOCATS Tel : 01 56 43 68 80 Fax : 01.40.75.01.96 Email : contact@haas-avocats.com 87 BD DE COURCELLES 75008 PARIS Métro Ternes

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back