Expertises des Systèmes d'information - Avril 2020 - N°456 - Le mensuel du droit de l'informatique et du multimédia - 150

D

O

C

T

R

I

N

E

déjà mises en place. En particulier, l'INS ne doit pas être utilisé
pour référencer des données de
santé en cas de doute sur l'identité du patient.
Conformément
aux
règles
communes de l'identito-vigilance,
l'INS seul n'apporte pas de garantie
suffisante, il doit être accompagné
des traits d'identité provenant des
bases de référence nationales.
Des nouveaux champs devront
être implémentés pour ces traits
dans le cas où les traits d'identité
actuels sont également conservés.
Les
données
issues
des
téléservices (INS et traits d'identité
de référence) ne devront pas
être modifiées localement mais
uniquement par consultation (ou
requête) des téléservices.
D'autres mesures de sécurité
sont décrites dans le référentiel
INS. Elles doivent s'inscrire
dans le cadre d'une politique
globale de sécurité des systèmes
d'information,
dans
lesquels
l'opération de référencement des
données de santé avec l'INS est
réalisée.

Mesures
de sécurité globales
Comme l'explique le référentiel INS,
cet identifiant doit bénéficier des
mêmes mesures de sécurité que
les données de santé. Cependant, le
niveau de sécurité nécessaire doit
être revu en raison de l'utilisation
de l'INS, notamment, en procédant
à une mise à jour de l'évaluation
des risques (étude de risques, étude
d'impact sur la vie privée).
Au titre des garanties exigées pour
protéger les données de santé qui
ont vocation à être référencées
avec l'INS, l'article 35 du RGPD
prévoit la conduite d'une analyse
d'impact relative à la protection des
données (AIPD), lorsqu'un traitement de données personnelles est
susceptible d'engendrer un risque
élevé pour les droits et libertés
des personnes concernées. La
Cnil énonce que «  généralement,
les traitements qui remplissent

150

au moins deux des critères suivants
doivent faire l'objet d'une analyse
d'impact  » : collecte de données
dites sensibles ; collecte de données
personnelles à large échelle. Par
exemple, le DPI tenu par un établissement de santé devrait faire l'objet
d'une AIPD intégrant la description
de l'analyse relative à l'utilisation de
l'INS pour référencer les données de
santé. On peut en revanche s'interroger sur l'existence de cette obligation pour un professionnel de santé
exerçant à titre libéraL. En effet, en
application du considérant 91 du
RGPD, « le traitement de données ne
devrait pas être considéré comme
étant à grande échelle si le traitement
concerne les données de patients
ou de clients par un médecin ou un
autre professionnel de santé. » Si l'on
peut comprendre les raisons qui
ont pu justifier cette exception, on
peut s'interroger sur l'appréciation
du risque lié à l'ajout de l'INS dans la
base des professionnels libéraux qui
sont tenus de référencer les données
de santé de leurs patients avec cet
identifiant.
Il est en tout cas préconisé par le
référentiel INS de procéder en raison
du référencement des données avec
l'INS à une mise à jour de l'analyse
de risque et, pour les acteurs qui
sont soumis à cette procédure, de
l'homologation de sécurité. L'AIPD
peut être intégrée à l'analyse de
risque globale.
Pour déterminer les garanties
appropriées pour référencer des
données de santé avec l'INS, les
règles applicables aux données de
santé doivent être prises en compte.
Outre le droit commun relatif à la
protection des données personnelles (RGPD, LIL), le responsable
de traitement de données de santé
est tenu de respecter les référentiels
de sécurité et d'interopérabilité de
l'article L.  1110-4-1 du CSP dont
relève les documents de la Politique
générale de sécurité des systèmes
d'information en santé (PGSSI-S), la
Politique de sécurité des systèmes
d'information pour les ministères
chargés des Affaires sociales
(PSSI MCAS) et le cas échéant,
EXPERTISES Avril 2020

les règles applicables dans le cadre
du Référentiel général de sécurité
(RGS).
Le référentiel INS est un référentiel
un peu à part puisqu'il est approuvé
par arrêté du ministre chargé de la
Santé sur le fondement d'un article
dédié, l'article R.  1111-8-7 du code
de la santé publique qui renvoie aux
référentiels de l'article L.  1110-4-1
du même code. Il est en tout cas le
premier référentiel à avoir été rendu
opposable.

Absence de contrôle et de
sanction spécifiques à
l'obligation d'utiliser l'INS
Dans le langage courant, comme
l'explique Yves PICOD1, le terme
«  obligation  » désigne tout ce qui
restreint
l›indépendance
d›un
individu en le soumettant à un
devoir ou une nécessité : obligations
morales, religieuses, professionnelles, etc. Or, la sanction qui émane
de l'autorité sociale constitue sans
doute le caractère le plus typique de
tout système juridique. C'est en effet
la sanction étatique qui différencie
les devoirs de bienséance, de morale
ou de religion et les obligations
purement juridiques. Il semble donc
que le seuil du juridique ne sera
atteint par l'obligation qu'à cette
condition. Certes, la séparation n'est
pas absolument étanche, ne serait-ce
que parce que de nombreux devoirs
moraux sont en même temps des
devoirs ou des obligations juridiques.
Dans le domaine de la santé, et plus
particulièrement du numérique en
santé, ce sujet est en pleine maturation face au risque que représentent
notamment les cyberattaques, au
manque de formation des professionnels concernés tout en étant
de plus en plus impliqués dans des
processus de dématérialisation de
leurs pratiques.
La loi n°2019-774 du 24 juillet 2019
relative à l'organisation et à la
transformation du système de santé
(dite loi de Santé) a modifié l'article
L.  1110-4-1 du code de la santé
publique, qui prévoit les référentiels de sécurité et d'interopérabilité
Expertises des Systèmes d'information - Avril 2020 - N°456 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Avril 2020 - N°456 - Le mensuel du droit de l'informatique et du multimédia
