Vos données médicales sont-elles en sécurité ? (2/4)

Cloud OU Auto-hébergement : ne cédez pas à la facilité !

  <     >  

Divider

L’hébergement des données et plus particulièrement des données médicales pose des soucis d’éthique, de sécurité, de responsabilité mais aussi de propriété professionnelle.

Cet hébergement, qui peut prendre plusieurs formes, est la partie la plus sensible et la plus importante de toutes les professions bénéficiant d’outils informatisés, de bases de données mais surtout dépendant entièrement de ces données.

Deux formes d’hébergement aujourd’hui s’affrontent sur le marché :
- l’hébergement dématérialisé via le cloud computing
- et bien sur l’auto hébergement.

Les offres de cloud computing ont le vent en poupe et bien que souvent alléchantes financièrement et d’un point de vue pratique, elles ne peuvent pas et ne doivent pas être systématiquement choisies et appliquées à tous les corps de métier ni à tous les types de données.

Qu’est-ce que le cloud computing ?

Le Cloud computing est la mise à disposition de ressources informatiques partagées à distance (stockage des données ou puissance de calcul par exemple) et repose sur la dématérialisation, l’externalisation, l’archivage et le partage d’informations. Une sorte de livre personnel, dans une bibliothèque extérieure, sans limite de distance, dont on peut cependant, instantanément et à tout moment, consulter chacune des pages à travers un réseau public (comme Internet) ou privé.

Ce concept d’externalisation consiste ainsi à déplacer des données habituellement traitées sur un serveur local (type établissement de santé) ou sur le poste de l'utilisateur lui-même, vers un système tiers, une sorte de gigantesque ordinateur externe installé « quelque part en France ou dans le monde », et ce sans aucune sauvegarde personnelle.

Qu’est-ce que l’auto hébergement ?

Dans ce cas de figure, vous possédez votre propre système, votre serveur de stockage, votre propre puissance de calcul et votre propre accès sécurisé sur un support local, à l’intérieur même de votre établissement ou de votre cabinet. Dans ce mode d’hébergement, vous savez où sont stockées vos données, vous être le seul maitre de leur emplacement et leur sauvegarde, de leur sort et surtout vous avez le contrôle total de la chaine d’information du début à la fin. La consultation de ces données se fait directement sur votre réseau interne et n’est pas exposée aux yeux du public, de hackers et surtout, votre productivité et votre fonctionnement ne dépendent pas d’un service gérant plusieurs millions de comptes. Avec une solution d’auto hébergement, vous gagnez en modularité et surtout votre développement technologique devient plus souple, l’informatisation de votre cabinet devient un atout de poids dans votre organisation.

Quid de la pérennité de ces solutions

Dans la première solution, la pérennité n’est évidemment pas un point fort des offres de cloud computing. Beaucoup trop de sociétés IT ont fermé la porte du jour au lendemain, sans assurer la continuité des services ou l’accès aux données. En effet, ces sociétés ne sont pas à l’abris d’erreurs de gestion, d’erreurs stratégiques ou d’erreurs financières et surtout elles s’exposent aux risques des marchés (croissance trop rapide avec spéculations) ainsi qu’aux risques de cyber criminalité. Une société avec des services en ligne peut aujourd’hui se retrouver vidée de sa substance en quelques heures, des services entiers devenu inaccessibles sur plusieurs continents ont déjà été touchés en même temps puisque le système fonctionne de manière endémique, le maillage internet étant bien plus important et bien plus sensible qu’on ne le croit.
Concernant la pérennité de ses données et des données patients, rien ne pourra remplacer un support physique, un auto hébergement dont vous serez toujours le propriétaire 10, 15 ou même 20 ans après.

Le point de vue juridique

D’un point de vue juridique la situation du cloud computing peut se révéler délicate, tant pour le praticien que pour le patient, mais dans ce schéma, en cas de problème soyez sûr que le prestataire qui s’occupe de vos données essentielles, lui, ne sera jamais inquiété.
Il convient de rappeler que la juridiction actuelle n’est pas assez adaptée à la dématérialisation des services. Non seulement la juridiction appliquée dépend souvent de la situation géographique des serveurs du prestataire, des données hébergées hors de France ne répondent pas au secret médicale, et des récentes décisions juridiques ont montré que les données hébergées sur des serveurs distants n’étaient pas forcément la propriété de la personne qui les avait mise sur le réseau.
Le maillage internet et la réplication des données sur des serveurs distants par mesures de sécurité ou par soucis de performance, nombre de prestataire cloud ne peuvent garantir des données 100% sur le sol français. De plus, pour être en accord avec la loi, un hébergeur de données de santé doit avoir la mention ASIP du ministère des affaires sociales et de la santé.
La situation juridique du cloud computing peut conduire à un imbroglio juridique en cas de fuite de données, en cas de perte de données, voir pire en cas d’altération des données. Le risque est bien trop grand et bien trop réel pour qu’il puisse être ignoré.

Avec la solution d’auto hébergement la question ne se pose pas. Outre une déclaration à la CNIL (déclaration Nome Simplifiée n°50 et déclaration AU-037 qui concernent l’informatisation d’un cabinet médical) le cadre juridique et réglementaire sont efficaces et sans surprises.
La France s'est dotée la première d'un régime juridique spécifique aux données personnelles et à l'utilisation des données personnelles. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel. Si cette loi s'attache à traiter de la protection de l'ensemble des données dites à caractère personnel, la loi dite "Kouchner" promulguée le 4 mars 2002 a pour objet de s'intéresser particulièrement aux données médicales.

Ainsi, l'article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d'accès à leurs données relatives à leur santé. Le patient est en droit de demander sans conditions, sans délai, l’accès à son dossier médical. L’article L. 1111-8 du code de la santé publique, traite de la légalité de l'hébergement et du traitement de données de santé. Ainsi, dans le cadre d'opérations de soins ou de diagnostics, les données de santé récupérées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. De plus, cet hébergement de données de santé ne peut être effectué qu'après consentement de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doivent évidemment respecter les conditions posées par la loi Informatique et Libertés.
La loi française n'est applicable qu’en France, et certaines législations internationales semblent ne pas accorder autant d'importance à la protection des données personnelles. De plus, l'ouverture des réseaux au monde entier amène à un risque : le législateur n'a pas le temps d'adapter la loi à la technique informatique.

De plus, il faut garder à l’esprit que l’intégrité des données en cas de cloud computing pose bien des problèmes. Vous stockez les données d’autrui sur un support qui ne vous appartient pas mais que vous louez. Comment savoir si vos données et celles de vos patients ne sont pas utilisées à des fins commerciales ? Comment savoir qu’en cas de suppression vos données sont effectivement supprimées ? Ces interrogations sont majeures d’autant plus que de nombreux services en ligne sont capables de restaurer des données pendant 30 jours après une résiliation d’abonnement, ou même suite à une manipulation accidentelle. Vous l’aurez compris, l’auto hébergement est la meilleure façon de se prémunir de ces éventualités.

Quelle solution pour le monde médical ?

Le monde médical est un secteur beaucoup trop sensible pour qu’il cède à la tentation du cloud computing, souvent annoncé comme révolution indispensable et incontournable de tous les secteurs informatiques.
Cependant, il convient de rappeler, que le marketing est bien trop souvent à l’origine de ce genre de révolutions des usages. Le cloud computing existe depuis 20 ans et malgré cette ancienneté, de nombreuses entreprises et multi nationales fonctionnent à la manière de l’auto hébergement, surtout lorsque ces données atteignent un certain niveau de sensibilité et de confidentialité.

Le cloud computing est avant tout fait pour le confort des fournisseurs plus que pour celui des utilisateurs. Le secteur médical est en effet beaucoup plus sensible à la gadgetisation de l’accès aux données que d’autres domaines, étant donnés les risques et responsabilités en jeu.

A titre d’exemple, pourquoi n’y a t’il toujours pas d’évolution majeure dans les cas de télé-chirurgie (robotisée) ? La réponse est simple, car aucune compagnie n’acceptera d’assurer la connexion à distance au travers d’internet. Il en va de même pour l’accès aux données délocalisées, leur accès et bien la responsabilité unique du praticien.

Ainsi pour le secteur médical, nous considérons le cloud computing comme trop risqué. Nous pensons que le praticien est mis dans une situation qui peut se retrouver subitement être inconfortable pour lui ainsi que le patient dans une situation qu’il n’a pas souhaitée.

Nous croyons fortement qu’en cas de déficience, technique, juridique, fonctionnel, que dans le cas du cloud computing le praticien sera toujours le responsable puisqu’il met en danger le secret médical en mettant en relation indirecte le patient avec un tiers.

Enfin, il est important d’insister à nouveau simplement sur la divergence entre les sociétés régies par le code de commerce, et les praticiens régis pas le code déontologique et le code de santé, où les intérêts sont très différents.

Chez Sylho, nous œuvrons pour le confort et l’efficacité du praticien, pour sa sécurité et son intégrité. Nous concevons des solutions pérennes et positivement évolutives reposant sur une offre puissante, flexible, fonctionnelle et transparente.
C’est pourquoi l’auto hébergement constitue le socle fondamental dans notre processus de collaboration.



En résumé

Cloud computing Auto-hébergement
Sécurité des données Serveur sécurisé, mais les menaces des hackers sont très présentes Votre hébergement n’a qu’un seul accès dont vous possédez toutes les clefs
Intégrité Les données sont sur un support qui ne vous appartient pas, chez un prestataire qui ne vous connait pas Vous êtes le seul maitre à bord, le seul décideur du sort de vos données
Pérennité Dépend entièrement du maintien de l’offre du prestataire Vous êtes propriétaire et non locataire de votre solution matérielle et logicielle
Disponibilité Le rapatriement des données dépend d’internet, son fonctionnement, sa vitesse de transfert, du prestataire Vous avez accès à toutes vos données en quelques secondes. Vous répondez parfaitement à la loi Kouchner de 2002
Responsabilité Un point flou, établi au préalable selon les conditions juridiques du contrat Les conditions sont ultra claires, vous êtes intégralement responsable de vos données
Réglementation Dépendra de la situation géographique de l’hébergeur, de ses serveurs et du pays d’appartenance Vous répondez à la loi française et êtes protégé par le secret médical. Vous êtes déclaré à la CNIL
Modularité Les offres sont nombreuses mais jamais adaptées à 100% à vos besoins Sylho propose une offre 100% adaptée aux besoins des praticiens
Compétences techniques Vous n’avez besoin d’aucunes compétences techniques Pas de compétences techniques requises, Sylho s’occupe de tout



En savoir plus

< Sécurité des données (1/4) : mise en garde aux praticiens

Sécurité des données (3/4) : loi renseignement et protection des données ! >