La santé est aujourd’hui l’une des industries les plus transformatrices mais aussi l’une des plus exigeantes. Cela s’explique en partie avec la croissance des risques numériques potentiels liés à la confidentialité, à la sécurité et à l’accessibilité. De nombreuses organisations investissent dans des technologies innovantes créées par des agences digitales, pour aider les parcours de soins des patients. Une réglementation très stricte est alors mise en place dans le déploiement de logiciels ou applications digitales de santé. Retrouvez dans cet article tous nos conseils. Sooyoos propose une offre dédiée aux projets digitaux e-santé.
À propos des applications digitales de santé
Application digitale et application digitale de santé, quelle différence ?
Globalement, une application santé se développe de la même façon qu’une application classique. Il y a seulement une différence à connaître : la sensibilité des données. Les données de santé doivent être enregistrées sur un serveur habilité (certifié HDS) afin de garantir un haut niveau de sécurité et de confidentialité.
Ces données ne sont pas disponibles à la consultation par n’importe qui, mais seulement certains professionnels de santé pourront donc y accéder.
Cela demande donc parfois la mise en place de protocoles d’authentification plus complexes. Par ailleurs, une app santé peut être à destination d’un public large, non technique, et il est dans ce cas important de bien prêter attention à l’expérience utilisateur (UX)
Respecter la réglementation de l’usage des données
Le RGPD(Règlement européen sur la protection des données):
Les données de santé sont des données à caractère personnelles particulières car elles sont considérées comme sensibles. Elles font à ce titre l’objet d’une protection particulière par les textes (règlement européen sur la protection des données personnelles, Loi Informatique et Libertés, code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes.
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
En Europe, c’est le RGPD (Règlement général sur la protection des données, GDPR en anglais) qui est le texte de référence sur les données personnelles, incluant donc les données médicales.
Aux États-Unis, le HIPAA (Health Insurance Portability and Accountability Act) est une loi votée par le Congrès en 1996 et concernant uniquement les données de santé. Si le HIPAA est imposé au niveau fédéral, certains États, comme la Californie, peuvent avoir des lois plus protectrices.
Qui est concerné par le RGPD ?
Tous les organismes sont concernés par le RGPD, quels que soient leur taille, leur pays d’implantation ou leur activité.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens.
Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux, doit respecter le RGPD.
De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France, doit respecter le RGPD.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.
Se conformer aux règles RGPD pour développer certains logiciels et applications de santé
Lorsque nous mesurons un logiciel par rapport à l’exigence de se conformer à la règle de confidentialité RGPD, il y a trois critères essentiels à définir :
- Entité
Lorsque l’application est utilisée par des hôpitaux, des médecins ou des assureurs comme une entité couverte, ils se conforment aux exigences logicielles conformes à la RGPD. Par exemple, vous envisagez de créer une application qui permet l’interaction patient-médecin. Désormais, votre application devra se conformer aux règles RGPD, car les hôpitaux et les médecins sont des entités couvertes. En outre, une application qui aide les utilisateurs à suivre les instructions de médication n’aura pas besoin de suivre les règles de confidentialité RGPD car aucune entité couverte n’est incluse. Tout en parlant d’entités, il est également essentiel de se pencher sur les règles de confidentialité. Parce qu’il se concentre sur les informations de santé protégées tout en décrivant qui devrait être responsable de la protection et que les détails ne sont pas divulgués.
- Données
Toute conformité RGPD liée aux applications mobiles se concentre principalement sur les informations de santé protégées, telles que les informations médicales qui peuvent être utilisées pour reconnaître un individu avec ces données divulguées, tout en profitant de services tels que le traitement ou le diagnostic.
- Sécurité logicielle
C’est l’un des derniers facteurs qui aident à déterminer si le développement d’applications de soins de santé relève ou non des règles RGPD et est lié à la technologie particulière tout en ayant également plusieurs normes disponibles pour la protection des données.
La Certification HDS:
Pour que vous puissiez créer une application digitale de santé, il se peut que vous ayez besoin d’une certification spéciale concernant son hébergement, et son exploitation en production. La certification HDS a pour objectif de renforcer la protection des données de santé à caractère personnel et de construire un environnement de confiance autour de l’ E-Santé et du suivi des patients.
Elle s’appuie sur des référentiels incluant le respect de normes iso et permet de délivrer une certification par un organisme indépendant accrédité à toute structure ou organisme hébergeant des données de santé.
Les données personnelles de santé sont des données très sensibles. C’est pourquoi leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La réglementation définit les modalités et les conditions attendues.
La certification HDS donne lieu à l’obtention de deux types de certificats:
La certification « Hébergeur d’infrastructure physique »
- Il s’agit de la mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé
- La mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
La certification « hébergeurs infogéreurs »
- Il s’agit ici, de la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé
- La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
- L’administration et l’exploitation du système d’information contenant les données de santé
- La sauvegarde externalisée des données de santé
Pour obtenir cette certification:
La procédure de certification repose sur une évaluation de conformité au référentiel de certification. L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen).
L’organisme procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification. Il vérifie notamment l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur.
- Étape 1: Un audit documentaire
L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification.
- Étape 2: Un audit sur site
Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation. L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. Passé ce délai et sans action de l’hébergeur, toute la procédure d’audit sur site sera de nouveau réalisée.
Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur et chaque année, un audit de surveillance est effectué.
La liste des hébergeurs agréés:
Dans le cadre de la procédure d’agrément des hébergeurs de données de santé à caractère personnel précisée par le décret du 4 janvier 2006, 66 hébergeurs sont à ce jour agréés par le ministre chargé de la santé.
Découvrez les sociétés ou organismes agréés hébergeurs de données de santé. Les conditions d’hébergement de données de santé évoluent. Pour toute information, consulter la page de procédure de certification.
- Retrouvez la liste ici
Respecter les politiques et règlementations des dispositifs de santé
La PGSSIS (Politique Générale de Sécurité des Systèmes d’Information de Santé)
Le corpus documentaire de la PGSSI-S, Politique Générale de Sécurité des Systèmes d’Information de Santé, offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé. En d’autres termes, elle permet de sécuriser les pratiques en matière de e-santé pour les usagers et les professionnels.
La PGSSIS à plusieurs objectifs:
- Aider les porteurs de projet dans la définition des niveaux de sécurité attendus
- Permettre aux industriels de préciser les niveaux de sécurité de leurs offres
- Soutenir les établissements de santé dans le choix et l’application de leur politique de sécurité
Il est important de noter qu’elle s’applique aussi bien au secteur public qu’au secteur privé, aux professionnels de santé, du médico-social et social, aux établissements de soin et aux offreurs de service.
La règlementation relative aux dispositifs médicaux (DM)
Certains des logiciels et certaines des applications de santé peuvent être qualifié de Dispositifs Médicaux car ils ont une finalité médicale. Ils doivent, de ce fait, être marqués CE comme tous les DM et DMDIV. Le marquage CE atteste de leur conformité à la réglementation. Ils entrent alors dans le champ de surveillance de l’ANSM.
Il est important de savoir, que la qualification d’un logiciel demande une évaluation au cas par cas de la destination et des spécificités de chacun pour caractériser la finalité médicale du produit.
Pour être qualifié de DM, le logiciel doit présenter les critères cumulatifs suivants :
- Etre destiné à une utilisation à des fins médicales au sens de la définition du DM ou du DM DIV. Il doit permettre, par exemple, un diagnostic, une aide au diagnostic, un traitement ou une aide au traitement
- Donner un résultat propre au bénéfice d’un seul patient
- Effectuer une action sur les données entrantes, telle qu’une analyse afin de fournir une information médicale nouvelle. Par exemple, une application d’analyses de données de signaux physiologiques propres à un patient et dotées de fonctions d’alertes à finalité médicale sera qualifiée de DM. Cette action doit être différente d’un stockage, une communication, ou une simple recherche telle une base de données ou une bibliothèque numérique intégrant des données dans un but exclusif d’archivage sans les exploiter.
Les conseils pour développer un logiciel de santé conforme à la loi
6 niveaux à respecter:
- Évaluer l’infrastructure et les politiques informatiques:
La première étape consiste à effectuer une évaluation détaillée de l’établissement de santé pour reconnaître les lacunes des politiques de sécurité et administratives.
- Mesures de cybersécurité:
Les violations de données constituent une menace importante pour tout établissement de santé, c’est pourquoi les garanties techniques doivent être solides. Cela minimise le risque de tout accès non autorisé.
- Chiffrement des protocoles:
Lors du développement d’un logiciel conforme à la RGPD , il est obligatoire de s’assurer que les données de santé sont cryptées lors des transmissions. Ceci est réalisé en utilisant les protocoles HTTP et SSL.
- Cryptage de la sauvegarde:
L’accent est toujours mis sur l’offre de services de récupération et de sauvegarde robustes, garantissant que les données ne sont pas perdues en cas d’urgence.
- Intégrité:
Lors de la construction du logiciel conforme au RGPD, il est essentiel de disposer d’une infrastructure mise en place pour garantir que le transfert d’informations est bien protégé.
- Disposition:
Les données archivées et de sauvegarde qui ont expiré doivent être éliminées. Toutes les données inutilisées sont supprimées de manière sûre et non récupérable.
Conclusion
Développer son logiciel ou son application de santé n’est pas une mince affaire, et diverses contraintes sont à respecter scrupuleusement. Les données en santé sont des données confidentielles, et nécessitent une sécurité optimale. Le RGPD régule et recentre alors toutes les indications avant de les utiliser. Aussi, chaque professionnel les utilisant est alors obligé d’obtenir une certification HDS concernant son hébergement.
Il convient également de suivre une règlementation à propos des Dispositifs Médicaux, et d’appliquer la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSIS).
Sources:
https://www.icreon.com/en/insights/how-to-develop-a-hipaa-compliant-healthcare-software