Échange et partage des données de santé : la MSS, messagerie sécurisée de santé

Avec la mise en application du RGPD, le 25 mai 2018, il est important de rappeler que l’utilisation d’une messagerie sécurisée de santé protégeant les données médicales de vos patients est une obligation légale.

Dans une délibération du 12 juin 2014 (2014-239) la CNIL donne l’autorisation unique de mise en œuvre, par les professionnels et établissements de santé ainsi que par les professionnels du secteur médico-social habilités par la loi, les traitements de données à caractère personnel ayant pour finalité l’échange par voie électronique de données de santé à travers un système de messagerie sécurisée.

Ces échanges sont indispensables à la bonne prise en charge des patients.Pour ce faire il faut impérativement respecter les conditions suivantes :

  • Le service de messagerie doit garantir l’identité de l’émetteur et du destinataire d’un message en vérifiant leur appartenance à un référentiel d’identification national ou local
  • Le service de messagerie doit assurer la sécurité des messages et des pièces jointes lors de leur transfert
  • Le service de messagerie sécurisée de santé doit assurer la conservation sous une forme sécurisée des messages et des pièces jointes

Pourtant actuellement plus de 80%, des échanges entre professionnel de santé se font dans un cadre non sécurisé, à cause de contraintes techniques et organisationnelle :

  • Des systèmes de messagerie sécurisés non interopérables,
  • Des conditions de confidentialités des échanges pas toujours satisfaisantes,
  • Des échanges de données de santé en forte croissance (essentiellement avec des messageries non sécurisées).

 Pour répondre à ces problématiques les ordres de santé proposent une messagerie sécurisée MSSantée.

Depuis le 1er mars 2018, la messagerie gratuite MSSanté, proposée par les ordres de santé, s’intitule désormais « Mailiz ». Ses fonctionnalités, inchangées, permettent des échanges totalement sécurisés et tracés entre professionnels de santé.

À la clé, la protection des données des patients, le respect du secret professionnel et de la réglementation.

Cliquez ici pour en savoir plus sur la messagerie gratuite MSSanté

Actualité du RGPD dans le secteur social et médico-social

Vous êtes nombreux à nous solliciter sur l’obligation de désigner un Délégué à la Protection des Données, également appelé DPO.

En effet, dans le cadre de questionnaires qui vous sont transmis par les administrations compétentes, il vous est demandé si vous avez mis en place un DPO.

Certains d’entre vous considèrent qu’il n’est pas obligatoire de désigner un tel intervenant, qu’il soit interne ou externe (mutualisé).

Il convient d’avoir à l’esprit que le RGPD prévoit la présence obligatoire d’un délégué à la protection des données pour :

  • Les autorités et organismes publics ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.

Les établissements et services sociaux et médico-sociaux gèrent pour la plupart et par nature des données sensibles.

Se pose dès lors la question de la notion de grande échelle. Sur ce point aucune définition n’est communiquée en l’état. Les exemples donnés autour du RGPD concernent soit des micro-structures, soit des méga-structures.

Aussi, pour les plus petites structures, une telle désignation ne nous semble pas obligatoire.

Pour autant, faut-il ne pas désigner de DPO si le volume de données est faible ?

Ce n’est pas la position de la CNIL qui encourage dans tous les cas la désignation d’un Délégué à la protection des données.

En effet, le DPO va apporter au service. Il s’intègre dans la logique de protection des droits des usagers. En effet, sa mission consiste à accompagner le responsable du traitement dans la mise en conformité au RGPD, notamment dans le cadre des analyses d’impacts. Il va aider l’ESMS à respecter les principes du RGPD (minimisation des données, proportionnalité, sécurité, durée de conservation).

A ce titre, le cabinet ACCENS Avocats propose une prestation de DPO externalisée qui donne satisfaction à ses clients, grâce la fine de leurs problématiques.

Réécriture de la loi informatique et libertés par l’Ordonnance n° 2018-1125 du 12 décembre 2018

Afin de prendre en considération le Règlement Général sur la Protection des Données (RGPD), la loi n°2018-493 en date du 20 juin 2018 est venue modifier la loi Informatique et Libertés du 6 janvier 1978.

La mouture 2018 a confié au Gouvernement la mission de réécrire, par voie d’ordonnance, la loi Informatique et Libertés, dans un souci de simplification et de clarification.

Les dispositions obsolètes devaient être retirées, les dispositions du RGPD intégrées.

Voilà chose faite, l’ordonnance n° 2018-1125 en date du 12 décembre 2018 étant parue le 13 décembre au JO.

Reprenant les grands principes de la loi d’origine (informatique au service des citoyens ; nécessaire coopération internationale en ce domaine), l’ordonnance clarifie le plan de ladite loi, en y mettant en exergue les apports du RGPD.

Les dispositions de la présente ordonnance entreront en vigueur au plus tard le 1er janvier 2019.

Formez-vous au RGPD

Il reste encore des places !

Le 5 mars 2019, le Cabinet ACCENS Avocats organise une session de formation au RGPD, à Angers. Cette formation, animée par Pierre Naitali, permet d’appréhender la réglementation nouvelle qu’est le RGPD.

Au programme :

  • Introduction : Présentation de l’évolution de la question des données personnelles
  • Présentation générale du RGPD (définition du traitement des données personnelles, les acteurs, les entreprises concernées)
  • Les grands principes du RGPD
  • Les nouvelles obligations (registre des traitements, DPO, rôle de la CNIL et sanctions)
  • La méthodologie de mise en conformité (cartographie, registre des traitements, analyse d’impact, documentation)
  • Le rétroplanning d’une mise en conformité

Animation : Pierre NAITALI, Avocat au Cabinet ACCENS AVOCATS

Participants : Directeur, Responsable administratif et financier, responsable ressources humaines, responsable informatique, personnel en charge de la mise en conformité

Support : Présentation Powerpoint, exemples

Inscription : 300€ (restauration non-comprise)
Nombre de places limité.
Pour vous inscrire, contactez le secrétariat ici ou au 02 41 42 48 80

Près de 150 ESMS accompagnés pour le RGPD

Le Cabinet ACCENS AVOCATS accompagne près de 150 ESMS pour la mise en œuvre du RGPD et la fonction de délégué à la protection des données (DPO).

Pour ce faire, le Cabinet ACCENS AVOCATS a développé une méthodologie rigoureuse et efficace.

D’abord, le Cabinet ACCENS AVOCATS a développé un logiciel dédié à la mise en conformité RGPD et à l’accompagnement en tant que DPO.

Cet outil permet de suivre intégralement la mise en conformité en simplifiant les échanges entre le Cabinet ACCENS AVOCATS et les ESMS. Les ESMS peuvent renseigner directement les informations qui les concernent.

Le Cabinet ACCENS AVOCATS les analyse avant d’aller en échanger avec les professionnels des établissements. Ainsi peuvent être identifiées les données collectées et élaborés les registres.

Grace à ces analyses, le Cabinet peut proposer des plans d’action à ses clients pour permettre le mise en conformité.

Parallèlement le Cabinet ACCENS AVOCATS anime des actions d’information/sensibilisation des professionnels.

A cette occasion, le Cabinet ACCENS AVOCATS y insiste sur le caractère didactique de la démarche et s’inscrit clairement dans une démarche d’accompagnement et non dans un cadre coercitif vis-à-vis des professionnels.

La confiance ainsi instaurée permet de garantir une très bonne qualité de prestation. Elle contribue à la prise de conscience de l’enjeu que constitue le traitement des données personnelles des personnes accompagnées.

D’ores et déjà, le Cabinet ACCENS AVOCATS accompagne près de 150 établissements, ce qui en fait un spécialiste du RGPD dans les ESMS.

L’accompagnement par le Cabinet ACCENS AVOCATS concerne des gestionnaires qui gère un établissement ou un lieu de vie et d’accueil, jusqu’à plusieurs dizaines d’établissements ou services.

A la fin de l’année 2019, le Cabinet ACCENS AVOCATS prévoit d’accompagner plus de 400 ESMS.

Kit d’information à l’attention des travailleurs sociaux pour protéger les données des publics

Le 23 janvier, la CNIL a publié sur son site un kit d’information à l’attention des travailleurs sociaux pour protéger les données de leurs publics

En effet, la CNIL souligne que les bénéficiaires d’un service social sont amenés à communiquer de nombreuses informations personnelles aux organismes publics ou associatifs.

Ce Kit est destiné à garantir le respect de leur vie privée et la confidentialité de leurs données.

Il est composé de plusieurs documents :

  • des « fiches de bonnes pratiques » auxquelles ont contribué un certain nombre d’acteurs. La CNIL souhaite, à ce titre, remercier : la Caisse nationale des allocations familiales (Cnaf) ; les Restos du Cœur ; le ministère des Solidarités et de la Santé ; les petits frères des Pauvres ; Pôle emploi ; la Croix-Rouge française ; l’Association des Départements de France (ADF) ; l’Association des Maires de France (AMF) ; la Fédération des Acteurs de la Solidarité ; l’Association pour l’accompagnement et le maintien à domicile (Apamad) ; l’Ecole Nationale Supérieure des Sciences de l’Information et des Bibliothèques (ENSSIB) ; l’Association nationale des assistants de service social (Anas) ;
  • un modèle de mandat permettant d’encadrer l’utilisation des données des usagers par le professionnel, notamment lorsque ce dernier réalise les démarches pour le compte d’un usager.

Bien évidemment, la CNIL souligne que ces documents ont vocation à être complétés et personnalisés en fonction des spécificités de l’accompagnement ou de l’organisme concerné.

Dans le Cadre de nos accompagnements pour la mise en conformité et dans les missions de Délégué à la protection des données, ce kit sera intégré à notre démarche d’information/sensibilisation des professionnels.

Suivre le lien : Professionnels du secteur social : comment mieux protéger les données de vos usagers ?

Le dossier médical partagé : où en sommes-nous ?

La CNIL a publié récemment un « questions-réponses » sur le dossier médical partagé. En effet, il s’agit d’une problématique importante puisque la CNIL évalue à 40 millions de dossiers médicaux partagés devant être créés d’ici à 5 ans.

La CNIL rappelle d’abord à quoi sert le DMP. Notamment, elle précise qu’il s’agit d’un outil permettant de contribuer à la continuité et à la coordination des soins en ville et à l’hôpital.

La CNIL indique les informations qui doivent être contenues dans le DMP, et précise qu’il s’agit pour l’essentiel des informations suivantes :

  • les données d’identification du titulaire du dossier ;
  • l’historique de soins de l’assurance maladie sur les derniers 24 mois. Ces données seront automatiquement alimentées par la CNAM ;
  • les antécédents médicaux (telles que les pathologies, les allergies, etc.) ;
  • les résultats d’examens médicaux (tels que les comptes rendus d’analyses biologiques,  les examens d’imageries médicales, etc.) ;
  • les comptes rendus d’hospitalisation ;
  • les directives anticipées de fin de vie ;
  • les coordonnées des proches à prévenir en cas d’urgence, de la personne de confiance, du médecin traitant et des professionnels de santé autorisés à accéder au dossier.

Le dossier médical partagé peut être créé en ligne sur le site dédié et le titulaire accède à son dossier médical partagé par l’intermédiaire du site dédié (www.dmp.fr).

Les personnes pouvant accéder au dossier médical partagé sont les professionnels de santé expressément autorisés par le titulaire, ou réputés autorisés du fait de leur appartenance à l’équipe de soins. A ce titre, une habilitation définit précisément le type de documents auquel chaque professionnel de santé accède, en fonction des informations qui lui sont nécessaires dans le cadre de la prise en charge du patient.

Comme toujours en matière de données personnelles, la CNIL précise, enfin, les personnes qui doivent être informées et la manière dont elles peuvent obtenir communication, rectification, ou suppression des données.

INTERVIEW : Patrick NAITALI, responsable projet « RGPD » pour le Cabinet ACCENS

Monsieur Patrick Naitali, qui a été de nombreuses années dirigeant de société dans les télécommunications et l’informatique, est très sensible aux questions de données personnelles et s’investit à présent dans la mise en œuvre du RGPD dans les ESMS au sein du cabinet ACCENS Avocats.

: Patrick NAITALI, vous êtes le responsable projet du Cabinet ACCENS Avocats pour le RGPD, en quoi consiste votre mission ?

R : Ma mission consiste à accompagner les clients du cabinet pour la mise en œuvre du RGPD. A ce titre, j’ai mis en place une équipe de 5 personnes que nous continuons à développer. L’équipe est composée de consultants dédiés au RGPD qui vont réaliser les audits sur place. Ils ont un profil soit informatique, soit juridique, et ont une bonne connaissance du secteur social et médico-social, ce qui leur permet d’être très attentifs aux problématiques des clients. Il y a également une secrétaire dédiée à la planification et au suivi des projets. C’est l’interlocutrice au quotidien des associations.

Q : Pouvez-vous nous en dire un peu plus sur la méthodologie utilisée par le Cabinet pour mettre en œuvre le RGPD ?

R : La mise en œuvre du RGPD passe par deux types de prestations : d’une part des prestations de cartographie des données permettant de préparer les registres de traitements et identifier les PIA qui devront être mis en œuvre au sein des associations, et d’un autre côté des prestations juridiques d’études des contrats pour s’assurer de leurs conformités, notamment les contrats de séjour avec de nouvelles clauses d’informations des usagers, les contrats des fournisseurs, etc… Ma principale mission consiste à travailler sur la première partie. La seconde partie étant réalisée par les avocats du Cabinet en fonction de leur matière.

Q : Cette organisation mêle différentes compétences : comment les clients apprécient-ils votre démarche ?

: Nous sommes très attentifs à l’accompagnement des clients, car il peut y avoir, chez une partie des personnels des associations, une certaine réticence à cette règlementation qui vient s’ajouter à celles déjà existantes, que ce soient les règlementations du droit du travail, mais dans le secteur, également toute la règlementation relative aux droits des usagers. Beaucoup craignent qu’il s’agisse d’une lourdeur supplémentaire. C’est là que la spécialisation du cabinet sur le secteur social et médico-social est importante, dans la mesure où elle nous permet d’avoir un service au plus près des professionnels, et de leur faire prendre conscience que le RGPD n’est pas qu’une contrainte, mais est également une richesse, car c’est aussi l’occasion de se réinterroger sur les pratiques professionnelles, sur le secret professionnel. Le constat fait aujourd’hui, est que cet accompagnement est perçu par les équipes comme une opportunité et un moment pour se réinterroger. Il me semble donc que c’est bénéfique.

Q : Je vous remercie pour ces informations. Avant de nous quitter, pouvez vous me dire où en est aujourd’hui le cabinet par rapport au RGPD ?

R : Nous accompagnons une centaine d’établissements sur le plan national. Il peut s’agir d’établissements à la fois dans le secteur du handicap, des personnes âgées, des adultes en difficultés. Cet accompagnement est extrêmement riche, et les clients nous font régulièrement part de leur satisfaction et sont parfois même surpris de la richesse des échanges qu’ils n’attendaient pas au départ de la mission, dans la mesure où, encore une fois, ils craignaient que ce soit une mission lourde et sans plus-value pour eux. La méthodologie mise en place par le cabinet ACCENS leur permet de faire du RGPD un outil de travail participant à la démarche de l’amélioration continue de la qualité dans l’établissement. Il me semble que les premières conclusions sont plutôt positives, mais bien évidemment, tous les audits ne sont pas terminés, et le travail est important. Nous pensons que, compte tenu du volume des dossiers en cours et à venir, le RGPD ne sera réellement en œuvre dans le secteur que d’ici 3 à 5 ans. Cependant, il est important pour tous, et afin d’éviter des sanctions de la CNIL, d’entrer rapidement dans la démarche.

 

Mise en conformité avec la mise en oeuvre du RGPD

Depuis le 25 mai dernier, la mise en œuvre du RGPD est obligatoire, et les associations se mettent progressivement en conformité avec cette nouvelle règlementation.

Vous êtes déjà près de 100 établissements à être accompagnés par le Cabinet ACCENS AVOCATS dans cette démarche (EHPAD, SSIAD, EA, ESAT, MECS, etc…).

Notre équipe a été renforcée avec un chef de projet qui a en charge le bon déroulement des audits. Avec lui, nous avons mis en place une démarche rigoureuse qui est la moins chronophage possible pour les personnels des établissements (questionnaires préalables, interview, rapport d’audit, etc.).

Les nombreux dossiers traités nous permettent déjà de constater qu’au travers de la mise en œuvre du RGPD, un certain nombre d’établissements et services en profitent pour réinterroger leur pratique quant à la collecte et à l’usage des données personnelles.

A n’en pas douter, beaucoup ont compris que le RGPD n’est pas qu’une simple mise en conformité règlementaire mais bien la prise en compte des droits des usagers.

Le cabinet fera sous 12 mois un premier bilan de la mise en œuvre de la règlementation et de ses apports au secteur.

Le RGPD et la sécurité des données !

Comme chacun le sait, toutes les entreprises, en particulier celles qui traitent des données sensibles, doivent appliquer le nouveau règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.  Le secteur social et médico-social n’échappe pas à cette obligation, bien au contraire.

La sécurisation des données  personnelles collectées est un élément central de sa mise œuvre. La CNIL a été amenée à réaffirmer cette obligation au travers d’une sanction prononcée récemment.

RGPD – La sécurité motif de sanction :

Lors de la Délibération du 7 mai 2018, la CNIL a prononcé une sanction pécuniaire d’un montant de 250.000 euros à l’encontre de la société OPTICAL CENTER, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Cette décision a été prise « Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident » selon la CNIL article du 7 juin 2018.

Comme la loi Informatique et Liberté, le RGPD impose au responsable du traitement de veiller à la sécurité des données

RGPD – La sécurité opportunité d’organisation :

Le RGPD est l’occasion de revoir l’organisation de nos systèmes d’informations. En effet les données recueillies dans des fichiers Excel, Word ou autres formats non identifiés, sont très difficiles à recenser et à localiser.

Ces informations non structurées posent des problèmes importants de sécurité et de sauvegarde.

RGPD – Sécuriser vos données :

Pour structurer votre système d’informations, vous devez mettre en place des bases de données centralisées sur un ou plusieurs serveurs clairement identifiés et protégés avec des outils adéquats.

  • Protection de l’accès au serveur de données par une gestion de login et mot de passe ;
  • Sécuriser l’accès aux serveurs par une gestion des connexions distantes avec des technologies comme le VPN (Virtual Private Network) système permettant de créer un lien direct entre des ordinateurs distants, en isolant les informations échangées ou SSL (Secure Socket Layer) permettant l’authentification des échanges réalisés et le chiffrement des informations ;
  • Hébergements spécialisés (Hébergeurs agréés de données de santé…) ;
  • La mise en place d’anti-virus, anti-spam, anti-spyware ;
  • Agent Mail : bloque les pièces jointes malveillantes des emails ;
  • Agent Web : protection du navigateur contre les sites Web et les téléchargements dangereux ;
  • Software Updater : outils de gestion de mises à jour des logiciels ;
  • Outils de surveillance des réseaux Wi-Fi ;
  • Anti-spam ;
  • Pare-Feu…

La mise en place de ces outils nécessite, la plupart du temps, l’expertise d’un professionnel qui les sélectionnera et les adaptera à la configuration de votre système informatique.

Il est donc nécessaire de mettre en place tous les moyens à votre disposition pour sécuriser les données personnelles collectées et rester dans une démarche d’amélioration permanente.

Bien évidemment, ces mesures n’excluent pas la formation et la sensibilisation des personnels aux traitements des données personnelles.