ITV #2 - Patrice Bideau

Confidentialité des données de santé, quelles obligations et quelles opportunités pour les assurances et entreprises du secteur de la santé ? 

Quel est le point d’entrée, les questions que doivent se poser les entreprises et assurances en termes de confidentialité des données de santé ? 

Avant toute chose, il est important de revenir sur la définition et le distinguo qui peut être fait entre les données personnelles et les données de santé.
Une donnée personnelle est une information relative à un personne physique susceptible d’être identifiée directement ou indirectement comme un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, etc.

Le périmètre de la donnée à caractère personnel de santé est relatif à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèle des informations sur l’état de santé de cette personne. Elles couvrent des données de santé par nature du type antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc. ; mais aussi celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne. Vous voyez, le périmètre est large !

Pour revenir à votre question initiale, pour une entreprise ou une assurance, et c’est d’ailleurs ce que nous avons fait au sein de C3Medical, il est important de mener une réflexion interne visant à protéger au mieux les données à caractère personnel et de santé qui peuvent être fournies par des tiers. Pour que cette réflexion soit efficace, nous devons commencer par nous poser un certain nombre de questions. Est-ce que l’entreprise a une bonne visibilité des données personnelles qu’elle manipule ? Est-ce que les données dont elle dispose sont exposées ou pas ? Est-ce qu’il existe au sein de l’entreprise des règles en matière de gestion des données ? Des règles de sécurité et de contrôle adaptées sont-elles mises en œuvre ? Et si ces règles existent, l’entreprise est-elle capable de répondre aux demandes des utilisateurs ou d’autres tiers (autorités, clients, partenaires, etc.) ? 

Une autre question primordiale est de savoir si l’entreprise est en conformité avec la réglementation dont elle dépend. En ce qui concerne la France, ce sont la Commission Nationale de l’Informatique et des Libertés (CNIL) et le Règlement Général sur la Protection des Données (RGPD) qui encadrent à juste titre le traitement des données personnelles et veillent au respect des droits de chacun.
Dernier point, quel que soit le type et la taille de l’entreprise, il est important sur le long terme de rester « compliant » (i.e. conforme) avec les législations en vigueur et de veiller constamment à leurs évolutions.

Quels sont les outils dont dispose C3Medical pour garantir la confidentialité et la sécurité des données de santé ? 

Chez C3Medical nous avons une politique stricte en la matière, qui commence par communiquer au patient l’importance des données qui le concernent, et par l’obtention de son consentement à ce que nous puissions accéder et utiliser ces données pour répondre à sa demande de service. 

Nous nous limitons à ne recevoir que les données dont nous avons besoin et ne conservons jamais les éléments qui nous sont envoyés, s’ils ne sont pas nécessaires à une analyse d’un dossier. Nous avons mis en œuvre une politique de protection des données que nous retenons, validée au niveau de la direction générale et pilotée par un référent, notre monsieur RGPD en quelque sorte. Cette politique définit le mode et les durées de conservation des données en fonction de leur type. 

En ce qui concerne le stockage des données de santé, nous avons sélectionné des hébergeurs de données de santé (HDS), qui sont agréés comme tels et qui ont développé les process et savoir-faire nécessaires permettant de garantir une protection de données sensibles.

Nous avons développé BestCARE, une plateforme de consolidation et de gestion des éléments médicaux et des parcours de soins de nos patients 100% intégrée et sécurisée. BestCARE nous permet de quasiment nous affranchir d’échanges de mails avec les différents acteurs avec lesquels nous travaillons, et de limiter (via la définition de profils adaptés) l’accès aux éléments médicaux aux personnes habilitées, qualifiées et autorisées. Pour les dossiers papier que nous continuons malgré tout de recevoir, nous avons organisé et maintenons des lieux de stockage sécurisés.

La politique de sécurité IT de la société, tout comme le process de gestion des incidents des systèmes d’information, font la part belle à la sécurité et tentent de s’assurer que nous prenons ce sujet avec le niveau de priorité idoine. Ces politiques incluent bien entendu notre direction générale et nos équipes métier, la direction des systèmes d’information et nos sous-traitants. Elles visent à prendre en compte et régler les problèmes ayant un impact sur la sécurité des données avec le plus grand niveau de vigilance. 

Enfin chaque collaborateur s’engage à respecter la non-divulgation vers l’extérieur de données confidentielles, dont les données de santé, en signant à son arrivée le code de conduite et de déontologie de l’entreprise. 

Concernant nos relations avec nos partenaires commerciaux, tous les contrats signés incluent des clauses, de plus en plus conséquentes, concernant la protection des données confidentielles et des données de santé. Il n’est pas rare que nous passions de longs moments à échanger avec leurs services juridiques afin de nous assurer, ensemble, de la cohérence et de l’efficacité de nos politiques respectives et « consolidées ». 


Quelles sont les lois internationales qui cadrent la confidentialité des données de santé ? En Afrique ? 
Il existe une législation internationale qui n’est pas toujours aussi stricte que celle qui est pratiquée au sein de l’union européenne et la CNIL suit avec intérêts les travaux du réseau africain des autorités de protection des données personnelles (RAPDP). 

D’une manière générale, la plupart des pays Africains se concentrent sur la confidentialité et la sécurité des données de communication électronique. Les pays comme le Bénin, le Burkina Faso, la Côte d’Ivoire, le Gabon, le Mali, le Maroc, le Sénégal et la Tunisie sont beaucoup plus avancés. Ces pays ont presque tous une propre autorité qui leur permet de contrôler la confidentialité des données dans leurs pays respectifs. Par ailleurs, avec l’augmentation du taux d’équipement en téléphonie mobile, le développement des réseaux sociaux et l’augmentation du niveau de vie, l’exigence des personnes en termes de protection des données se renforce. Ceci implique pour les pays d’être beaucoup plus rigoureux sur le type d’informations collectées et leur traitement.

Pour nos patients, qui viennent pour une grande majorité de ces pays, nous appliquons les lois et les normes françaises.

La confidentialité des données protège évidemment les patients, mais pour les entreprises et assurances, que garantit cette confidentialité ? 

Pour les entreprises et les assurances qui manipulent des données de santé, la gestion de la confidentialité et de la sécurité des données est un sujet très important.
C’est d’abord l’assurance que ces acteurs respectent la loi et qu’ils permettent à leurs partenaires ou clients d’eux même respecter la loi. C’est donc limiter les risques d’image, financiers ou juridiques qui peuvent découler d’une communication ou d’une utilisation mal maîtrisée de données sensibles à caractère confidentiel. 
 
Respecter cette confidentialité nécessite de cartographier et de revoir ses process et ses modes de communication et de fonctionnement avec ses parties prenantes. Dans cette optique, la réglementation pousse à innover, afin de réduire au maximum la lourdeur des démarches à implémenter et de rationaliser pour plus d’efficacité, de sécurisation et d’amélioration des pratiques. La mise en place de plateformes d’échanges sécurisées de données, de signature en ligne, sont des exemples d’innovations dans ce domaine.

Respecter cette confidentialité permet également de rassurer des clients potentiels ou leur famille, et de se positionner sur des appels d’offres émanant d’entreprises ou d’institutions qui, dans le cadre de leur politique de sécurité exigent de ne travailler qu’avec des fournisseurs ayant eux même mis en place des politiques cohérentes en la matière. C’est donc l’opportunité de faire la différence avec des acteurs qui n’auront pas su investir ou se pencher suffisamment sérieusement sur ce sujet et de gagner des marchés.