Rechercher
Derniers sujets
statuts association AMISdMOM/5 étoiles solidaires - Sécurité des informations et données médicales sur le net/
A.M.I.S. des M.O.M :: OBJECTIFS ASSOCIATION DE PATIENTS SOLIDAIRES/ OBJECTIVES OF PATIENT SOLIDARITY ASSOCIATION :: Cliquer ici- pour accéder aux différents sujets-FORUMS-DIVERS - diffusions LIENS - AMIS D MOM - Click here to reach the various subjects - FORUMS-
Page 1 sur 1
statuts association AMISdMOM/5 étoiles solidaires - Sécurité des informations et données médicales sur le net/
"piqûre de rappel" :
Association de loi de 1901 - créée - 06/2009.
Nous formalisons par le présent post - notre collaboration avec l'association "les 5 étoiles solidaires". Département de Saône et Loire/Rhône Alpes/Bourgogne/
Rappel de l'objet de l'association AMISdMOM/5 étoiles Solidaires/même combat.
- pour toutes les demandes complémentaires, adresser vos demandes - au siège de l'association.
" ARTICLE 1
Il est fondé entre les adhérents aux présents statuts, une association régie par la loi du 1er juillet 1901 et le décret du 16 août 1901, ayant pour titre : « A.M.I.S – Association Maladies Inconnues Solidaires – clair de lune pour les maladies orphelines ou méconnues»
Sigle : A.M.I.S CLAIR DE LUNE POUR LES M.O.M. - AMISdMOM
ARTICLE 2
Cette association a pour but :
- d’aider les malades atteints des maladies orphelines ou méconnues telles : syringomyélie - malformation ou syndrome de A. Chiari - fibromyalgie - S.F.C. syndrome de fatigue chronique - myelinolyse – compression médullaire - Scléroses en plaques – S.L.A. : sclérose latérale amyotrophique maladie de charcot – Autisme – et évolution suivant demande des adhérents.
- de sensibiliser les proches, de rapprocher les patients pour s’enrichir mutuellement de leurs propres expériences.
- d’informer et de sensibiliser les pouvoirs publics de l’existence des maladies pré citées et de mettre en action différentes démarches.
- de participer aux financements des actes chirurgicaux, médicaux non pris en charge par l’organisme social ainsi que de favoriser le déplacement des familles et patients auprès de spécialistes, d’apporter différents soutiens aux familles et patients, permettre des soins à l’étranger ou en France (voir vérification : prise en charge, maladies inconnues, liste non exhaustive évolutive suivant concertation des membres du bureau de l’association.
Constituer un réseau entre patients pour permettre hébergements et prises en charges.
A noter, certaines pathologies sont parfois associées à ces maladies orphelines ou méconnues : afin de garantir, la validité juridique des décisions prises par le bureau au nom de l’association, une définition sera établie à chaque nouveau pouvoir accordés aux différentes instances de l’association ceci afin de garantir la validité juridique des décisions prises par les membres du bureau et de déterminer l’étendue de la responsabilité personnelle de ces derniers tant envers les tiers qu’avec l’association. (Règlement intérieur et statuts à harmoniser)
- d’organiser des collectes de fonds, des dons ou de mettre en place différentes manifestations diverses (sportives, artistiques, festives, spectacles, animations diverses, brocantes, vides grenier etc…) afin de contribuer à des projets unanimes et en accord avec les réglementations, les législations etc..
- de s’engager pour que l'association soit reconnue, pour qu'elle devienne une référence, non pas pour sortir les gens de la misère, mais pour que les patients puissent en quelque sorte, avoir un point de repère. En l'occurrence, l’association a pour objectif de développer un site internet, un forum, entretenant dans la mesure du possible : des échanges cordiaux entre patients qui transmettront leur expérience pour soutenir d’autres dans les démarches qu'ils devront ou pourraient entreprendre. Mise en place de modérateurs habilités par le bureau.
Mise en place de moyens de communications et diffusions diverses.
- de les aider à constituer des démarches administratives dans la mesure des moyens de l’association.
- L’association pourra s’entourer si besoin de professionnels dans différents actes : conseillers, juristes, médecins, assureurs, professionnels para médicaux, assureurs. (Suivant fonds recueillis et mise à disposition pour chaque action et programme déterminé par les membres du bureau) L’association doit inscrire son activité et ses objectifs et se prévaloir de toutes protections juridiques pour les différents membres du bureau affectés à l’organisation de ces tâches. (Responsabilités).
A.M.I.S. n'a pas pour ambition ni pour but d'accompagner chaque personne désirant de l'information en la prenant par la main et en faisant les démarches à sa place.
L’objectif n’est pas de se "substituer" à d’autres associations mais de favoriser les actions avec leurs collaborations et de permettre aux patients de s’orienter et d’aller vers leurs solutions. L’association pourra faire le relais auprès des différents organismes et associations habilités : MDPH – COTOREP – organismes de sécurité sociale afin d’accompagner le patient dans l’élaboration de ses dossiers moyennant contributions sur frais de dossiers (photocopies, frais téléphoniques, déplacements, entretiens).
L’association a vocation à œuvrer pour les générations futures atteintes des mêmes pathologies : partage des expériences et des vécus.
Définition légale du handicap :
La loi du 11 février 2005 définit le handicap dans toute sa diversité. L’article 2 stipule que :
« constitue un handicap, au sens de la présente loi, toute limitation d’activité ou restriction de participation à la vie en société subie dans son environnement par une personne en raison d’une altération substantielle, durable ou définitive d’une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d’un polyhandicap ou trouble de santé invalidant ».
A.M.I.S. souhaite préservée :
L’action spontanée, la communication, la célérité de la distribution des informations et autres renseignements recueillis, après vérification bien sûr, afin de les diffuser et de permettre à chaque patient d’être au fait des avancées médicales, administratives et scientifiques.
Les différents membres de l’A.M.I.S. ont un devoir de réserve et de confidentialité eu égard aux informations transmises. La diffusion s’effectue avec l’accord de l’intéressé s’il y a pour but d’aider d’autres patients et sous sa responsabilité.
L’association peut travailler avec d’autres associations.....
"
Statuts élaborés par cabinet d'avocats spécialisés.
Cf - Objectifs en partie identique.
P°/AMISdMom/5 étoiles Solidaires
Co-fondateurs - Associations.
A suivre.
Association de loi de 1901 - créée - 06/2009.
Nous formalisons par le présent post - notre collaboration avec l'association "les 5 étoiles solidaires". Département de Saône et Loire/Rhône Alpes/Bourgogne/
Rappel de l'objet de l'association AMISdMOM/5 étoiles Solidaires/même combat.
- pour toutes les demandes complémentaires, adresser vos demandes - au siège de l'association.
" ARTICLE 1
Il est fondé entre les adhérents aux présents statuts, une association régie par la loi du 1er juillet 1901 et le décret du 16 août 1901, ayant pour titre : « A.M.I.S – Association Maladies Inconnues Solidaires – clair de lune pour les maladies orphelines ou méconnues»
Sigle : A.M.I.S CLAIR DE LUNE POUR LES M.O.M. - AMISdMOM
ARTICLE 2
Cette association a pour but :
- d’aider les malades atteints des maladies orphelines ou méconnues telles : syringomyélie - malformation ou syndrome de A. Chiari - fibromyalgie - S.F.C. syndrome de fatigue chronique - myelinolyse – compression médullaire - Scléroses en plaques – S.L.A. : sclérose latérale amyotrophique maladie de charcot – Autisme – et évolution suivant demande des adhérents.
- de sensibiliser les proches, de rapprocher les patients pour s’enrichir mutuellement de leurs propres expériences.
- d’informer et de sensibiliser les pouvoirs publics de l’existence des maladies pré citées et de mettre en action différentes démarches.
- de participer aux financements des actes chirurgicaux, médicaux non pris en charge par l’organisme social ainsi que de favoriser le déplacement des familles et patients auprès de spécialistes, d’apporter différents soutiens aux familles et patients, permettre des soins à l’étranger ou en France (voir vérification : prise en charge, maladies inconnues, liste non exhaustive évolutive suivant concertation des membres du bureau de l’association.
Constituer un réseau entre patients pour permettre hébergements et prises en charges.
A noter, certaines pathologies sont parfois associées à ces maladies orphelines ou méconnues : afin de garantir, la validité juridique des décisions prises par le bureau au nom de l’association, une définition sera établie à chaque nouveau pouvoir accordés aux différentes instances de l’association ceci afin de garantir la validité juridique des décisions prises par les membres du bureau et de déterminer l’étendue de la responsabilité personnelle de ces derniers tant envers les tiers qu’avec l’association. (Règlement intérieur et statuts à harmoniser)
- d’organiser des collectes de fonds, des dons ou de mettre en place différentes manifestations diverses (sportives, artistiques, festives, spectacles, animations diverses, brocantes, vides grenier etc…) afin de contribuer à des projets unanimes et en accord avec les réglementations, les législations etc..
- de s’engager pour que l'association soit reconnue, pour qu'elle devienne une référence, non pas pour sortir les gens de la misère, mais pour que les patients puissent en quelque sorte, avoir un point de repère. En l'occurrence, l’association a pour objectif de développer un site internet, un forum, entretenant dans la mesure du possible : des échanges cordiaux entre patients qui transmettront leur expérience pour soutenir d’autres dans les démarches qu'ils devront ou pourraient entreprendre. Mise en place de modérateurs habilités par le bureau.
Mise en place de moyens de communications et diffusions diverses.
- de les aider à constituer des démarches administratives dans la mesure des moyens de l’association.
- L’association pourra s’entourer si besoin de professionnels dans différents actes : conseillers, juristes, médecins, assureurs, professionnels para médicaux, assureurs. (Suivant fonds recueillis et mise à disposition pour chaque action et programme déterminé par les membres du bureau) L’association doit inscrire son activité et ses objectifs et se prévaloir de toutes protections juridiques pour les différents membres du bureau affectés à l’organisation de ces tâches. (Responsabilités).
A.M.I.S. n'a pas pour ambition ni pour but d'accompagner chaque personne désirant de l'information en la prenant par la main et en faisant les démarches à sa place.
L’objectif n’est pas de se "substituer" à d’autres associations mais de favoriser les actions avec leurs collaborations et de permettre aux patients de s’orienter et d’aller vers leurs solutions. L’association pourra faire le relais auprès des différents organismes et associations habilités : MDPH – COTOREP – organismes de sécurité sociale afin d’accompagner le patient dans l’élaboration de ses dossiers moyennant contributions sur frais de dossiers (photocopies, frais téléphoniques, déplacements, entretiens).
L’association a vocation à œuvrer pour les générations futures atteintes des mêmes pathologies : partage des expériences et des vécus.
Définition légale du handicap :
La loi du 11 février 2005 définit le handicap dans toute sa diversité. L’article 2 stipule que :
« constitue un handicap, au sens de la présente loi, toute limitation d’activité ou restriction de participation à la vie en société subie dans son environnement par une personne en raison d’une altération substantielle, durable ou définitive d’une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d’un polyhandicap ou trouble de santé invalidant ».
A.M.I.S. souhaite préservée :
L’action spontanée, la communication, la célérité de la distribution des informations et autres renseignements recueillis, après vérification bien sûr, afin de les diffuser et de permettre à chaque patient d’être au fait des avancées médicales, administratives et scientifiques.
Les différents membres de l’A.M.I.S. ont un devoir de réserve et de confidentialité eu égard aux informations transmises. La diffusion s’effectue avec l’accord de l’intéressé s’il y a pour but d’aider d’autres patients et sous sa responsabilité.
L’association peut travailler avec d’autres associations.....
"
Statuts élaborés par cabinet d'avocats spécialisés.
Cf - Objectifs en partie identique.
P°/AMISdMom/5 étoiles Solidaires
Co-fondateurs - Associations.
A suivre.
Dernière édition par Admin le Mar 15 Sep - 21:15, édité 6 fois
Réflexions intéressantes sur la protection des données médicales.
article à diffuser - le futur projet de loi ??? risques...
nouvelle mise à jour 12/2014 - nouveau lien - développement et discussion suggérée.
http://blog.akinet.fr/protection-donnees-medicales/
La protection des données médicales
nouvelle mise à jour 12/2014 - nouveau lien - développement et discussion suggérée.
http://blog.akinet.fr/protection-donnees-medicales/
La protection des données médicales
La quasi-totalité des objets disposent aujourd’hui d’une connexion à l’Internet. Dans cette ère du tout connecté où les flux sont incessants, une catégorie de données reste cependant sujette à une attention particulière : les données dites personnelles, regroupant en leur sein les données médicales informatiques.
Avant toute chose, il apparaît plus aisé de définir plus précisément ce que l’on entend par une donnée médicale. Dans un premier temps, cette dernière n’est pas nécessairement informatique : une donnée peut en effet être archivée sous la forme d’un écrit. Il en va ainsi des certificats médicaux ou des ordonnances. Ainsi, le terme de donnée médicale englobe tout ce qui a attrait à une méthode de conservation de l’état de santé d’un patient : la question de la protection des données médicales, avec les règles de déontologie et de respect de la vie privée s’y afférant, n’est donc pas récente.
Or l’évolution fulgurante des technologies informatiques peuvent constituer un danger pour la protection des données de santé. Ainsi, ces dernières peuvent se voir perdues, corrompues, détruites voire même détournées. Ainsi, le récent cas de suicide du prévenu suspecté d’avoir volé le dossier médical de Michael Schumacher rappelle que les données médicales, du fait de leur caractère éminemment personnel, restent des données sensibles devant faire l’objet d’une protection particulière.
La France est pionnière en la matière puisqu’elle dispose de ce fait d’un régime juridique protégeant l’ensemble des données personnelles. Ce régime date de la loi du 06 janvier 1978. L’objectif principal de cette loi est d’assurer la sécurité du traitement des données à caractère personnel.
Parmi ces dernières on y trouve les données médicales qui font également l’objet de dispositions particulières : le code de la santé publique protège les données médicales, et notamment leur traitement par les professionnels de santé.
Cependant, une donnée informatique est, par définition, immatérielle. Elle suppose donc une localisation sur un serveur. Hélas, dans le cas où un ressortissant français tombe malade dans un pays étranger et est soigné là bas, ses données médicales ne seront pas situés sur le territoire national.
La loi française ne s’appliquant que sur le territoire français, le régime de protection des données médicales pourra se voir alors modifié, et certaines atteintes à la confidentialité de données de santé seront peut être tolérées alors qu’elles constituent une infraction au droit français. Dès lors, quelle est la réelle portée juridique de la protection des données médicales à la fois au plan national et international? L’évolution récente de certaines technologies informatiques peut elle rentrer en contradiction avec la confidentialité de données si sensibles ?
La France est pionnière en la matière puisqu’elle dispose de ce fait d’un régime juridique protégeant l’ensemble des données personnelles. Ce régime date de la loi du 06 janvier 1978. L’objectif principal de cette loi est d’assurer la sécurité du traitement des données à caractère personnel.
Parmi ces dernières on y trouve les données médicales qui font également l’objet de dispositions particulières : le code de la santé publique protège les données médicales, et notamment leur traitement par les professionnels de santé.
Cependant, une donnée informatique est, par définition, immatérielle. Elle suppose donc une localisation sur un serveur. Hélas, dans le cas où un ressortissant français tombe malade dans un pays étranger et est soigné là bas, ses données médicales ne seront pas situés sur le territoire national.
La loi française ne s’appliquant que sur le territoire français, le régime de protection des données médicales pourra se voir alors modifié, et certaines atteintes à la confidentialité de données de santé seront peut être tolérées alors qu’elles constituent une infraction au droit français. Dès lors, quelle est la réelle portée juridique de la protection des données médicales à la fois au plan national et international? L’évolution récente de certaines technologies informatiques peut elle rentrer en contradiction avec la confidentialité de données si sensibles ?
I. Une protection des données médicales encadrée au plan national
Il en va de soit, mais la France possède un régime juridique particulier sur la protection des données médicales, ce dit régime étant particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinés à renseigner les professionnels de la santé.
A. Un cadre juridique et réglementaire efficace
Comme dit précédemment, la France s’est dotée la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel. Comme indiqué ci-dessus, le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de leur ethnie, sexe, état de santé, etc.…, justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales.
Ainsi, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé (par exemple une feuille de consultation ou une ordonnance médicale), ce dernier peut demander directement ou par le biais d’un médecin l’accès à ce document.
Cependant, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé récupérées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doivent évidemment respecter les conditions posées par la loi Informatique et Libertés. Les professionnels de la santé sont encadrés lorsqu’ils sont amenés à traiter avec des données médicales. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.
Ainsi, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé (par exemple une feuille de consultation ou une ordonnance médicale), ce dernier peut demander directement ou par le biais d’un médecin l’accès à ce document.
Cependant, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé récupérées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doivent évidemment respecter les conditions posées par la loi Informatique et Libertés. Les professionnels de la santé sont encadrés lorsqu’ils sont amenés à traiter avec des données médicales. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.
B. Des recommandations pratiques délivrées par la CNIL
La CNIL accorde une attention particulière à la manière dont sont effectuées des traitements de données à caractère personnel. Pour se faire, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcé sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.
La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraitre acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, restent nécessaires, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lue ou interceptée par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal. De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données.
Dans le cas où un traitement de données médicales fait l’objet d’une mise en réseau, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur et trois erreurs consécutives doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, bloquer le système.
De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents : cela signifie ainsi que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers. De plus, les données médicales doivent faire l’objet d’un cryptage : c’est obligatoire pour les données personnelles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas.
Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux.
La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraitre acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, restent nécessaires, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lue ou interceptée par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal. De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données.
Dans le cas où un traitement de données médicales fait l’objet d’une mise en réseau, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur et trois erreurs consécutives doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, bloquer le système.
De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents : cela signifie ainsi que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers. De plus, les données médicales doivent faire l’objet d’un cryptage : c’est obligatoire pour les données personnelles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas.
Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux.
II. Une protection des données médicales incertaine au plan international
La loi française n’est applicable en France, et certaines législations internationales semblent ne pas accorder autant d’importance à la protection des données personnelles. De plus, l’ouverture des réseaux au monde entier amène à un risque : le législateur n’a pas le temps d’adapter la loi à la technique informatique.
A. Une absence de concertation internationale préjudiciable
Avant toute chose, il est à noter que la majorité des autres états étrangers n’adopte pas de position hostile par rapport à la protection des données personnelles, bien au contraire. Ainsi, concernant les états européens, la plupart de ces derniers ont adopté une CNIL (ou un équivalent) permettant ainsi une certaine uniformisation de la protection des données personnelles, et donc par ce biais des données médicales. De plus, lorsqu’un traitement de données personnelles d’un citoyen français doit être effectué dans un pays étranger, un accord de la CNIL est obligatoire. Il existe ainsi des cas de figure où des données médicales d’un ressortissant français peuvent être amenées à être traitées dans un pays étranger à l’Union européenne.
L’exemple des Etats-Unis constitue peut-être le meilleur exemple de risque potentiel d’atteinte à la protection des données médicales d’un citoyen français. Prenons le cas où lors du séjour d’un Français aux Etats-Unis, ce dernier doit subir une hospitalisation imprévue dans un établissement de santé américain. Théoriquement, et dans la grande majorité des cas, les données médicales des patients français n’ont aucune raison d’être détournées de leur utilisation.
Or il existe un principe en droit américain nommé le « Patriot Act ». Ce dernier permet au gouvernement américain de disposer librement des données personnelles d’un individu sur le fondement d’une seule suspicion de terrorisme ou d’espionnage. Si l’existence d’un tel principe est hautement compréhensible au regard de l »importance accordée par le gouvernement américain à tout ce qui concerne la sécurité nationale, le fondement d’une seule suspicion sans autre preuve apparait bien léger pour assurer une protection des données médicales. De plus, la cybercriminalité est un rempart à une bonne protection des données médicales lorsque des pare-feu ne sont pas suffisamment élaborés pour prévenir de telles attaque. Ainsi, entre les mois d’avril et juin 2014, Community Health Systems, un spécialiste de la gestion d’hôpitaux américains, a subi des cyber-attaques qui ont subtilisé plusieurs millions de données personnelles.
S’il n’est fait état d’aucune subtilisation de données médicales au sein des données volées, cette possibilité relance la nécessité d’une protection informatique nécessaire pour se prémunir de ce genre de piratage.
L’exemple des Etats-Unis constitue peut-être le meilleur exemple de risque potentiel d’atteinte à la protection des données médicales d’un citoyen français. Prenons le cas où lors du séjour d’un Français aux Etats-Unis, ce dernier doit subir une hospitalisation imprévue dans un établissement de santé américain. Théoriquement, et dans la grande majorité des cas, les données médicales des patients français n’ont aucune raison d’être détournées de leur utilisation.
Or il existe un principe en droit américain nommé le « Patriot Act ». Ce dernier permet au gouvernement américain de disposer librement des données personnelles d’un individu sur le fondement d’une seule suspicion de terrorisme ou d’espionnage. Si l’existence d’un tel principe est hautement compréhensible au regard de l »importance accordée par le gouvernement américain à tout ce qui concerne la sécurité nationale, le fondement d’une seule suspicion sans autre preuve apparait bien léger pour assurer une protection des données médicales. De plus, la cybercriminalité est un rempart à une bonne protection des données médicales lorsque des pare-feu ne sont pas suffisamment élaborés pour prévenir de telles attaque. Ainsi, entre les mois d’avril et juin 2014, Community Health Systems, un spécialiste de la gestion d’hôpitaux américains, a subi des cyber-attaques qui ont subtilisé plusieurs millions de données personnelles.
S’il n’est fait état d’aucune subtilisation de données médicales au sein des données volées, cette possibilité relance la nécessité d’une protection informatique nécessaire pour se prémunir de ce genre de piratage.
B. Un état technique avancé, ou le risque d’un retard juridique
Aujourd’hui, il apparaît pratiquement impossible de faire disparaître la carte vitale du système médical français : la gestion des données de santé apparait bien trop longue au regard du nombre de patients à gérer. A ce titre, l’évolution informatique mêlée à des impératifs de gestion médicale ne pose pas de problème juridique en soit. Toutefois, des technologies nouvelles ne sont pas encore appréhendées par la loi. Il en va par exemple du Cloud computing : aucun stockage physique n’est effectué sur le disque dur de l’ordinateur et tout se retrouve localisé dans des datacenters qui peuvent être localisés dans des pays étrangers. Certaines entreprises louent d’ailleurs des services de cloud à des professionnels.
Or dans le cas où un professionnel médical stockerait des données de santé de cette manière, outre un accord de la CNIL nécessaire, que se passe-t-il dans le cas où un patient souhaite avoir accès à ses données de santé? De plus, lorsque des données, notamment personnelles, se retrouve massivement stockées en un point physique fixe, les risques de cyber-attaques se retrouvent augmentées.
En 2009, le gouvernement français avait élaboré le projet « Andromède » qui prévoit de stocker sous la forme d’un « cloud souverain » les données nationales du gouvernement, de son administration et d’autres entreprises.
Ce projet permettrait ainsi d’alléger considérablement les risques associées à une « volatilité » des données que l’on peut constater aujourd’hui. En effet, ces dernières se retrouveraient toutes sous l’égide de la loi française, aucun problème de localisation des serveurs ne pourrait être relevé et le travail de surveillance de la CNIL serait considérablement allégé.
Pour autant, si les données médicales ne semblent pas faire l’objet d’un stockage massif dans des serveurs cloud étrangers, la question mérite néanmoins réflexion en ce que les dispositions relatives au bon traitement des données médicales par le droit français se voit d’un coup quasiment réduites à néant. Enfin, une législation numérique européenne serait la bienvenue puisque les données médicales se verraient enfin asservies à un régime juridique dans l’ensemble de l’Europe.
Or dans le cas où un professionnel médical stockerait des données de santé de cette manière, outre un accord de la CNIL nécessaire, que se passe-t-il dans le cas où un patient souhaite avoir accès à ses données de santé? De plus, lorsque des données, notamment personnelles, se retrouve massivement stockées en un point physique fixe, les risques de cyber-attaques se retrouvent augmentées.
En 2009, le gouvernement français avait élaboré le projet « Andromède » qui prévoit de stocker sous la forme d’un « cloud souverain » les données nationales du gouvernement, de son administration et d’autres entreprises.
Ce projet permettrait ainsi d’alléger considérablement les risques associées à une « volatilité » des données que l’on peut constater aujourd’hui. En effet, ces dernières se retrouveraient toutes sous l’égide de la loi française, aucun problème de localisation des serveurs ne pourrait être relevé et le travail de surveillance de la CNIL serait considérablement allégé.
Pour autant, si les données médicales ne semblent pas faire l’objet d’un stockage massif dans des serveurs cloud étrangers, la question mérite néanmoins réflexion en ce que les dispositions relatives au bon traitement des données médicales par le droit français se voit d’un coup quasiment réduites à néant. Enfin, une législation numérique européenne serait la bienvenue puisque les données médicales se verraient enfin asservies à un régime juridique dans l’ensemble de l’Europe.
Source : JDN
innov1- Invité
INTERNET ET SES RISQUES
Bonjour,
le sujet évoque bien l'importance d'un cadre juridique.
A suivre
liens
http://www.lenetexpert.fr/la-protection-des-donnees-medicales-web-3-0/
Avant toute chose, il apparait plus aisé de définir plus précisément ce que l’on entend par une donnée médicale. Dans un premier temps, cette dernière n’est pas nécessairement informatique : une donnée peut en effet être archivée sous la forme d’un écrit. Il en va ainsi des certificats médicaux ou des ordonnances. Ainsi, le terme de donnée médicale englobe tout ce qui a attrait à une méthode de conservation de l’état de santé d’un patient : la question de la protection des données médicales, avec les règles de déontologie et de respect de la vie privée s’y afférant, n’est donc pas récente.
Or l’évolution fulgurante des technologies informatiques peuvent constituer un danger pour la protection des données de santé. Ainsi, ces dernières peuvent se voir perdues, corrompues, détruites voire même détournées. Ainsi, le récent cas de suicide du prévenu suspecté d’avoir volé le dossier médical de Michael Schumacher rappelle que les données médicales, du fait de leur caractère éminemment personnel, restent des données sensibles devant faire l’objet d’une protection particulière.
La France est pionnière en la matière puisqu’elle dispose de ce fait d’un régime juridique protégeant l’ensemble des données personnelles. Ce régime date de la loi du 06 janvier 1978. L’objectif principal de cette loi est d’assurer la sécurité du traitement des données à caractère personnel. Parmi ces dernières on y trouve les données médicales qui font également l’objet de dispositions particulières : le code de la santé publique protège les données médicales, et notamment leur traitement par les professionnels de santé.
Cependant, une donnée informatique est, par définition, immatérielle. Elle suppose donc une localisation sur un serveur. Hélas, dans le cas où un ressortissant français tombe malade dans un pays étranger et est soigné là bas, ses données médicales ne seront pas situés sur le territoire national. La loi française ne s’appliquant que sur le territoire français, le régime de protection des données médicales pourra se voir alors modifié, et certaines atteintes à la confidentialité de données de santé seront peut être tolérées alors qu’elles constituent une infraction au droit français. Dès lors, quelle est la réelle portée juridique de la protection des données médicales à la fois au plan national et international? L’évolution récente de certaines technologies informatiques peut elle rentrer en contradiction avec la confidentialité de données si sensibles?
I. Une protection des données médicales encadrée au plan national.
Il en va de soit, mais la France possède un régime juridique particulier sur la protection des données médicales, ce dit régime étant particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinés à renseigner les professionnels de la santé.
A. Un cadre juridique et réglementaire efficace.
Comme dit précédemment, la France s’est dotée la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel. Comme indiqué ci-dessus, le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de leur ethnie, sexe, état de santé, etc., justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales. Ainsi, l’article L1111-7 du Code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé (par exemple une feuille de consultation ou une ordonnance médicale), ce dernier peut demander directement ou par le biais d’un médecin l’accès à ce document.
Cependant, l’article L1111-8 du Code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé récupérées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doivent évidemment respecter les conditions posées parla loi Informatique et Libertés. Les professionnels de la santé sont encadrés lorsqu’ils sont amenés à traiter avec des données médicales. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.
B. Des recommandations pratiques délivrées par la CNIL.
La CNIL accorde une attention particulière à la manière dont sont effectuées des traitements de données à caractère personnel. Pour se faire, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcé sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.
La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, restent nécessaires, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lue ou interceptée par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal. De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données.
Dans le cas où un traitement de données médicales fait l’objet d’une mise en réseau, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur et trois erreurs consécutives doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, bloquer le système. De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents : cela signifie ainsi que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers. De plus, les données médicales doivent faire l’objet d’un cryptage : c’est obligatoire pour les données personnelles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux.
II. Une protection des données médicales incertaine au plan international.
La loi française n’est applicable en France, et certaines législations internationales semblent ne pas accorder autant d’importance à la protection des données personnelles. De plus, l’ouverture des réseaux au monde entier amène à un risque : le législateur n’a pas le temps d’adapter la loi à la technique informatique.
A. Une absence de concertation internationale préjudiciable.
Avant toute chose, il est à noter que la majorité des autres états étrangers n’adopte pas de position hostile par rapport à la protection des données personnelles, bien au contraire. Ainsi, concernant les états européens, la plupart de ces derniers ont adopté une CNIL (ou un équivalent) permettant ainsi une certaine uniformisation de la protection des données personnelles, et donc par ce biais des données médicales. De plus, lorsqu’un traitement de données personnelles d’un citoyen français doit être effectué dans un pays étranger, un accord de la CNIL est obligatoire. Il existe ainsi des cas de figure où des données médicales d’un ressortissant français peuvent être amenées à être traitées dans un pays étranger à l’européenne.
L’exemple des États-Unis constitue peut-être le meilleur exemple de risque potentiel d’atteinte à la protection des données médicales d’un citoyen français. Prenons le cas où lors du séjour d’un français aux États-Unis, ce dernier doit subir une hospitalisation imprévue dans un établissement de santé américain. Théoriquement, et dans la grande majorité des cas, les données médicales des patients français n’ont aucune raison d’être détournées de leur utilisation. Or il existe un principe en droit américain nommé le « Patriot Act ». Ce dernier permet au gouvernement américain de disposer librement des données personnelles d’un individu sur le fondement d’une seule suspicion de terrorisme ou d’espionnage. Si l’existence d’un tel principe est hautement compréhensible au regard de l’importance accordée par le gouvernement américain à tout ce qui concerne la sécurité nationale, le fondement d’une seule suspicion sans autre preuve apparait bien léger pour assurer une protection des données médicales. De plus, la cybercriminalité est un rempart à une bonne protection des données médicales lorsque des pare-feu ne sont pas suffisamment élaborés pour prévenir de telles attaque. Ainsi, entre les mois d’avril et juin 2014, Community Health Systems, un spécialiste de la gestion d’hôpitaux américains, a subi des cyber-attaques qui ont subtilisé plusieurs millions de données personnelles. S’il n’est fait état d’aucune subtilisation de données médicales au sein des données volées, cette possibilité relance la nécessité d’une protection informatique nécessaire pour se prémunir de ce genre de piratage.
B. Un état technique avancé, ou le risque d’un retard juridique.
Aujourd’hui, il apparait pratiquement impossible de faire disparaitre la carte vitale du système médical français : la gestion des données de santé apparait bien trop longue au regard du nombre de patients à gérer. A ce titre, l’évolution informatique mêlée à des impératifs de gestion médicale ne pose pas de problème juridique en soit. Toutefois, des technologies nouvelles ne sont pas encore appréhendées parla loi. Il en va par exemple du Cloud computing : aucun stockage physique n’est effectué sur le disque dur de l’ordinateur et tout se retrouve localisé dans des datacenters qui peuvent être localisés dans des pays étrangers. Certaines entreprises louent d’ailleurs des services de cloud à des professionnels. Or dans le cas où un professionnel médical stockerait des données de santé de cette manière, outre un accord de la CNIL nécessaire, que se passe-t-il dans le cas où un patient souhaite avoir accès à ses données de santé ? De plus, lorsque des données, notamment personnelles, se retrouve massivement stockées en un point physique fixe, les risques de cyber-attaques se retrouvent augmentées. En 2009, le gouvernement français avait élaboré le projet « Andromède » qui prévoit de stocker sous la forme d’un « cloud souverain » les données nationales du gouvernement, de son administration et d’autres entreprises. Ce projet permettrait ainsi d’alléger considérablement les risques associées à une « volatilité » des données que l’on peut constater aujourd’hui. En effet, ces dernières se retrouveraient toutes sous l’égide de la loi française, aucun problème de localisation des serveurs ne pourrait être relevé et le travail de surveillance de la CNIL serait considérablement allégé. Pour autant, si les données médicales ne semblent pas faire l’objet d’un stockage massif dans des serveurs cloud étrangers, la question mérite néanmoins réflexion en ce que les dispositions relatives au bon traitement des données médicales par le droit français se voit d’un coup quasiment réduites à néant. Enfin, une législation numérique européenne serait la bienvenue puisque les données médicales se verraient enfin asservies à un régime juridique dans l’ensemble de l’Europe.
Par Me Murielle CAHEN
Sources :
http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/un-imperatif-la-securite/
http://www.ordre.pharmacien.fr/content/download/123311/645012/version/1/file/J23-Dossier-CommentGarantirSecuriteDonneesSante.pdf
http://www.ordre.pharmacien.fr/Le-patient/La-protection-des-donnees-de-sante
http://www.linformaticien.com/actualites/id/33884/4-5-millions-de-donnees-medicales-derobees-aux-etats-unis.aspx
Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…
Source : http://www.juritravail.com/Actualite/fichiers-libertas/Id/176621
Par Murielle CAHEN – Avocat
le sujet évoque bien l'importance d'un cadre juridique.
A suivre
liens
http://www.lenetexpert.fr/la-protection-des-donnees-medicales-web-3-0/
Avant toute chose, il apparait plus aisé de définir plus précisément ce que l’on entend par une donnée médicale. Dans un premier temps, cette dernière n’est pas nécessairement informatique : une donnée peut en effet être archivée sous la forme d’un écrit. Il en va ainsi des certificats médicaux ou des ordonnances. Ainsi, le terme de donnée médicale englobe tout ce qui a attrait à une méthode de conservation de l’état de santé d’un patient : la question de la protection des données médicales, avec les règles de déontologie et de respect de la vie privée s’y afférant, n’est donc pas récente.
Or l’évolution fulgurante des technologies informatiques peuvent constituer un danger pour la protection des données de santé. Ainsi, ces dernières peuvent se voir perdues, corrompues, détruites voire même détournées. Ainsi, le récent cas de suicide du prévenu suspecté d’avoir volé le dossier médical de Michael Schumacher rappelle que les données médicales, du fait de leur caractère éminemment personnel, restent des données sensibles devant faire l’objet d’une protection particulière.
La France est pionnière en la matière puisqu’elle dispose de ce fait d’un régime juridique protégeant l’ensemble des données personnelles. Ce régime date de la loi du 06 janvier 1978. L’objectif principal de cette loi est d’assurer la sécurité du traitement des données à caractère personnel. Parmi ces dernières on y trouve les données médicales qui font également l’objet de dispositions particulières : le code de la santé publique protège les données médicales, et notamment leur traitement par les professionnels de santé.
Cependant, une donnée informatique est, par définition, immatérielle. Elle suppose donc une localisation sur un serveur. Hélas, dans le cas où un ressortissant français tombe malade dans un pays étranger et est soigné là bas, ses données médicales ne seront pas situés sur le territoire national. La loi française ne s’appliquant que sur le territoire français, le régime de protection des données médicales pourra se voir alors modifié, et certaines atteintes à la confidentialité de données de santé seront peut être tolérées alors qu’elles constituent une infraction au droit français. Dès lors, quelle est la réelle portée juridique de la protection des données médicales à la fois au plan national et international? L’évolution récente de certaines technologies informatiques peut elle rentrer en contradiction avec la confidentialité de données si sensibles?
I. Une protection des données médicales encadrée au plan national.
Il en va de soit, mais la France possède un régime juridique particulier sur la protection des données médicales, ce dit régime étant particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinés à renseigner les professionnels de la santé.
A. Un cadre juridique et réglementaire efficace.
Comme dit précédemment, la France s’est dotée la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel. Comme indiqué ci-dessus, le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de leur ethnie, sexe, état de santé, etc., justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales. Ainsi, l’article L1111-7 du Code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé (par exemple une feuille de consultation ou une ordonnance médicale), ce dernier peut demander directement ou par le biais d’un médecin l’accès à ce document.
Cependant, l’article L1111-8 du Code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé récupérées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doivent évidemment respecter les conditions posées parla loi Informatique et Libertés. Les professionnels de la santé sont encadrés lorsqu’ils sont amenés à traiter avec des données médicales. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.
B. Des recommandations pratiques délivrées par la CNIL.
La CNIL accorde une attention particulière à la manière dont sont effectuées des traitements de données à caractère personnel. Pour se faire, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcé sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.
La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, restent nécessaires, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lue ou interceptée par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal. De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données.
Dans le cas où un traitement de données médicales fait l’objet d’une mise en réseau, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur et trois erreurs consécutives doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, bloquer le système. De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents : cela signifie ainsi que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers. De plus, les données médicales doivent faire l’objet d’un cryptage : c’est obligatoire pour les données personnelles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux.
II. Une protection des données médicales incertaine au plan international.
La loi française n’est applicable en France, et certaines législations internationales semblent ne pas accorder autant d’importance à la protection des données personnelles. De plus, l’ouverture des réseaux au monde entier amène à un risque : le législateur n’a pas le temps d’adapter la loi à la technique informatique.
A. Une absence de concertation internationale préjudiciable.
Avant toute chose, il est à noter que la majorité des autres états étrangers n’adopte pas de position hostile par rapport à la protection des données personnelles, bien au contraire. Ainsi, concernant les états européens, la plupart de ces derniers ont adopté une CNIL (ou un équivalent) permettant ainsi une certaine uniformisation de la protection des données personnelles, et donc par ce biais des données médicales. De plus, lorsqu’un traitement de données personnelles d’un citoyen français doit être effectué dans un pays étranger, un accord de la CNIL est obligatoire. Il existe ainsi des cas de figure où des données médicales d’un ressortissant français peuvent être amenées à être traitées dans un pays étranger à l’européenne.
L’exemple des États-Unis constitue peut-être le meilleur exemple de risque potentiel d’atteinte à la protection des données médicales d’un citoyen français. Prenons le cas où lors du séjour d’un français aux États-Unis, ce dernier doit subir une hospitalisation imprévue dans un établissement de santé américain. Théoriquement, et dans la grande majorité des cas, les données médicales des patients français n’ont aucune raison d’être détournées de leur utilisation. Or il existe un principe en droit américain nommé le « Patriot Act ». Ce dernier permet au gouvernement américain de disposer librement des données personnelles d’un individu sur le fondement d’une seule suspicion de terrorisme ou d’espionnage. Si l’existence d’un tel principe est hautement compréhensible au regard de l’importance accordée par le gouvernement américain à tout ce qui concerne la sécurité nationale, le fondement d’une seule suspicion sans autre preuve apparait bien léger pour assurer une protection des données médicales. De plus, la cybercriminalité est un rempart à une bonne protection des données médicales lorsque des pare-feu ne sont pas suffisamment élaborés pour prévenir de telles attaque. Ainsi, entre les mois d’avril et juin 2014, Community Health Systems, un spécialiste de la gestion d’hôpitaux américains, a subi des cyber-attaques qui ont subtilisé plusieurs millions de données personnelles. S’il n’est fait état d’aucune subtilisation de données médicales au sein des données volées, cette possibilité relance la nécessité d’une protection informatique nécessaire pour se prémunir de ce genre de piratage.
B. Un état technique avancé, ou le risque d’un retard juridique.
Aujourd’hui, il apparait pratiquement impossible de faire disparaitre la carte vitale du système médical français : la gestion des données de santé apparait bien trop longue au regard du nombre de patients à gérer. A ce titre, l’évolution informatique mêlée à des impératifs de gestion médicale ne pose pas de problème juridique en soit. Toutefois, des technologies nouvelles ne sont pas encore appréhendées parla loi. Il en va par exemple du Cloud computing : aucun stockage physique n’est effectué sur le disque dur de l’ordinateur et tout se retrouve localisé dans des datacenters qui peuvent être localisés dans des pays étrangers. Certaines entreprises louent d’ailleurs des services de cloud à des professionnels. Or dans le cas où un professionnel médical stockerait des données de santé de cette manière, outre un accord de la CNIL nécessaire, que se passe-t-il dans le cas où un patient souhaite avoir accès à ses données de santé ? De plus, lorsque des données, notamment personnelles, se retrouve massivement stockées en un point physique fixe, les risques de cyber-attaques se retrouvent augmentées. En 2009, le gouvernement français avait élaboré le projet « Andromède » qui prévoit de stocker sous la forme d’un « cloud souverain » les données nationales du gouvernement, de son administration et d’autres entreprises. Ce projet permettrait ainsi d’alléger considérablement les risques associées à une « volatilité » des données que l’on peut constater aujourd’hui. En effet, ces dernières se retrouveraient toutes sous l’égide de la loi française, aucun problème de localisation des serveurs ne pourrait être relevé et le travail de surveillance de la CNIL serait considérablement allégé. Pour autant, si les données médicales ne semblent pas faire l’objet d’un stockage massif dans des serveurs cloud étrangers, la question mérite néanmoins réflexion en ce que les dispositions relatives au bon traitement des données médicales par le droit français se voit d’un coup quasiment réduites à néant. Enfin, une législation numérique européenne serait la bienvenue puisque les données médicales se verraient enfin asservies à un régime juridique dans l’ensemble de l’Europe.
Par Me Murielle CAHEN
Sources :
http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/un-imperatif-la-securite/
http://www.ordre.pharmacien.fr/content/download/123311/645012/version/1/file/J23-Dossier-CommentGarantirSecuriteDonneesSante.pdf
http://www.ordre.pharmacien.fr/Le-patient/La-protection-des-donnees-de-sante
http://www.linformaticien.com/actualites/id/33884/4-5-millions-de-donnees-medicales-derobees-aux-etats-unis.aspx
Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…
Source : http://www.juritravail.com/Actualite/fichiers-libertas/Id/176621
Par Murielle CAHEN – Avocat
INFORMATIONS MEDICALES- Invité
securité des données medicales sur internet
bonsoir,
les réglementations se suivent et se complètent.
Y a t-il du nouveau pour les bases de 2011 ? à suivre
http://eduscol.education.fr/internet-responsable/ressources/legamedia/donnees-personnelles-et-faille-de-securite.html
Données personnelles et faille de sécurité
Le vol de données des millions d’utilisateurs de la plateforme de jeux en ligne d’un grand groupe industriel japonais a sans doute précipité l’adoption de l’ordonnance du 24 août 2011[1] qui crée un nouvel article 34 bis de la loi « Informatique et libertés » sur les failles de sécurité.
L’article 34 bis intégré dans la loi par ordonnance de 2011 s’applique à « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».
Cet article pose différentes questions.
1. Qu’est-ce qu’une violation de sécurité ?
La notion de violation de sécurité s’analyse par les conséquences. Autrement dit, toute faille de sécurité n’entraîne pas forcément une violation de sécurité. Par exemple, une faille de sécurité corrigée avant d’avoir été exploitée n’entraîne pas de violation de sécurité.
Quant à l’origine, elle peut être :
Une faille de sécurité est un défaut dans un matériel, un logiciel (par exemple un bogue dans un programme) ou une procédure, qui ouvre une brèche dans la sécurité du système. Ce peut être également une circonstance particulière (le système de contrôle est en panne, le gardien s’est évanoui).
La notion de faille de sécurité est donc essentiellement technique. Les éléments suivants, notamment, n’interviennent pas dans sa détermination :
En revanche, ces éléments pourront être pris en compte pour apprécier la gravité du risque encouru, ou encore les différentes responsabilités pénales ou civiles.
2. Que dois-je faire en cas de violation de sécurité ?
Lorsqu’une faille de sécurité est détectée, il est obligatoire :
3. Que risque-t-on si on ne respecte pas l’article 34 bis ?
« Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende[4] ».
4. Qui est tenu d’appliquer cet article ?
Le texte, de l’article 34 bis, vise les « fournisseurs de services de communications électroniques accessibles au public ». Il ne s’adresse pas directement aux acteurs principaux de la gestion des données personnelles qui sont les « responsables de traitement ».
Aucune disposition légale ne définit le « fournisseur de services de communications électroniques accessibles au public ». Mais de l’avis de tous, et surtout de la =default&tx_contagged[uid]=12&tx_contagged[backPid]=154&cHash=11b01a402baca31e241432c9f59b3bc4]CNIL, le texte ne s’adresse qu’aux opérateurs de télécoms et aux fournisseurs d’accès internet. L’article 34 bis et sa sanction pénale ne sont donc pas directement applicables aux services de l’Éducation nationale et de la communauté éducative.
Néanmoins, il doit être signalé que si leur responsabilité ne peut être engagée pour violation de l’article 34 bis, elle pourra l’être sur d’autres fondements tels que la négligence fautive, ou encore les régimes de responsabilités de droit commun. Parmi les régimes de responsabilité de droit commun, on peut citer les articles 1382[5], 1383[6] et 1147[7] du Code civil.
Mais attention, la proposition de règlement du Parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit d’étendre la responsabilité juridique aux responsables de traitement.
Il a ainsi été découvert, par hasard, par un site de presse que de nombreuses données médicales confidentielles se trouvaient en ligne accessibles par une simple recherche dans Google. La cause était à rechercher dans les failles de sécurité des systèmes notamment une mauvaise protection des serveurs informatiques des établissements et les maladresses du personnel des services hospitaliers.
On peut citer également le cas du vol de données des millions d’utilisateurs de la plateforme en ligne Playstation Network du géant japonais en 2011. L'attaque est survenue entre le 17 et le 19 avril 2011. Durant l'attaque, des millions de données personnelles et bancaires ont été subtilisées. Le 20 avril 2011, Sony ferme le PlayStation Network. Avec un total de plus de 77 millions d'utilisateurs, le nombre de données et d'identifiants volés en fait la plus grande violation de sécurité du réseau depuis son lancement en 2006. De lourdes pertes financières se comptant en milliards de dollars ont été recensées et un bon nombre d'actions en justice ont été engagées contre la firme.
les réglementations se suivent et se complètent.
Y a t-il du nouveau pour les bases de 2011 ? à suivre
http://eduscol.education.fr/internet-responsable/ressources/legamedia/donnees-personnelles-et-faille-de-securite.html
Données personnelles et faille de sécurité
Le vol de données des millions d’utilisateurs de la plateforme de jeux en ligne d’un grand groupe industriel japonais a sans doute précipité l’adoption de l’ordonnance du 24 août 2011[1] qui crée un nouvel article 34 bis de la loi « Informatique et libertés » sur les failles de sécurité.
Présentation
Assurer la sécurité des données personnelles que l’on détient est obligatoire[2]. Et gérer les « violations de sécurité » est indispensable. Aucune application informatique, malgré tout le soin apporté pour atteindre le niveau de sécurité recherché, n’est à l’abri d’une attaque. C’est vrai des applications internes des entreprises ou des organismes et, plus encore, des sites ou services en ligne, davantage exposés et, paradoxalement, parfois moins sécurisés.L’article 34 bis intégré dans la loi par ordonnance de 2011 s’applique à « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».
Cet article pose différentes questions.
1. Qu’est-ce qu’une violation de sécurité ?
La notion de violation de sécurité s’analyse par les conséquences. Autrement dit, toute faille de sécurité n’entraîne pas forcément une violation de sécurité. Par exemple, une faille de sécurité corrigée avant d’avoir été exploitée n’entraîne pas de violation de sécurité.
Quant à l’origine, elle peut être :
- une faille de sécurité accidentelle qui provient d’une faute, d’une erreur ou d’une négligence interne ;
- une faille de sécurité ouverte au moyen de procédés illicites.
Une faille de sécurité est un défaut dans un matériel, un logiciel (par exemple un bogue dans un programme) ou une procédure, qui ouvre une brèche dans la sécurité du système. Ce peut être également une circonstance particulière (le système de contrôle est en panne, le gardien s’est évanoui).
La notion de faille de sécurité est donc essentiellement technique. Les éléments suivants, notamment, n’interviennent pas dans sa détermination :
- une éventuelle faute du responsable de la gestion des données ;
- la connaissance effective ou potentielle de la faille ;
- sa gravité ;
- etc.
En revanche, ces éléments pourront être pris en compte pour apprécier la gravité du risque encouru, ou encore les différentes responsabilités pénales ou civiles.
2. Que dois-je faire en cas de violation de sécurité ?
Lorsqu’une faille de sécurité est détectée, il est obligatoire :
- d’informer la =default&tx_contagged[uid]=12&tx_contagged[backPid]=154&cHash=11b01a402baca31e241432c9f59b3bc4]CNIL sans délai[3] ;
- d’informer les personnes concernées lorsque cette violation peut porter atteinte à leurs données à caractère personnel ou à leur vie privée ;
- de réagir immédiatement pour remédier à la violation de sécurité ;
- de tenir un inventaire visant à tenir à jour la liste des violations identifiées, leurs effets et les mesures prises pour y remédier.
3. Que risque-t-on si on ne respecte pas l’article 34 bis ?
« Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende[4] ».
4. Qui est tenu d’appliquer cet article ?
Le texte, de l’article 34 bis, vise les « fournisseurs de services de communications électroniques accessibles au public ». Il ne s’adresse pas directement aux acteurs principaux de la gestion des données personnelles qui sont les « responsables de traitement ».
Aucune disposition légale ne définit le « fournisseur de services de communications électroniques accessibles au public ». Mais de l’avis de tous, et surtout de la =default&tx_contagged[uid]=12&tx_contagged[backPid]=154&cHash=11b01a402baca31e241432c9f59b3bc4]CNIL, le texte ne s’adresse qu’aux opérateurs de télécoms et aux fournisseurs d’accès internet. L’article 34 bis et sa sanction pénale ne sont donc pas directement applicables aux services de l’Éducation nationale et de la communauté éducative.
Néanmoins, il doit être signalé que si leur responsabilité ne peut être engagée pour violation de l’article 34 bis, elle pourra l’être sur d’autres fondements tels que la négligence fautive, ou encore les régimes de responsabilités de droit commun. Parmi les régimes de responsabilité de droit commun, on peut citer les articles 1382[5], 1383[6] et 1147[7] du Code civil.
Mais attention, la proposition de règlement du Parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit d’étendre la responsabilité juridique aux responsables de traitement.
Illustration
Régulièrement les médias informent sur la détection de failles de sécurité.Il a ainsi été découvert, par hasard, par un site de presse que de nombreuses données médicales confidentielles se trouvaient en ligne accessibles par une simple recherche dans Google. La cause était à rechercher dans les failles de sécurité des systèmes notamment une mauvaise protection des serveurs informatiques des établissements et les maladresses du personnel des services hospitaliers.
On peut citer également le cas du vol de données des millions d’utilisateurs de la plateforme en ligne Playstation Network du géant japonais en 2011. L'attaque est survenue entre le 17 et le 19 avril 2011. Durant l'attaque, des millions de données personnelles et bancaires ont été subtilisées. Le 20 avril 2011, Sony ferme le PlayStation Network. Avec un total de plus de 77 millions d'utilisateurs, le nombre de données et d'identifiants volés en fait la plus grande violation de sécurité du réseau depuis son lancement en 2006. De lourdes pertes financières se comptant en milliards de dollars ont été recensées et un bon nombre d'actions en justice ont été engagées contre la firme.
NAidO- Invité
étude du projet de loi Santé 2014-2015
bonjour,
tous ces liens et copies collés
nous indiquent bien qu'il est important
de revoir les textes du projet de loi Santé.
Un cadre juridique semble nécessaire.
Merci pour toutes ces recherches.
tous ces liens et copies collés
nous indiquent bien qu'il est important
de revoir les textes du projet de loi Santé.
Un cadre juridique semble nécessaire.
Merci pour toutes ces recherches.
JOE1- Invité
Sujets similaires
» SUITE ARNOLD CHIARI (syndrome-malformation A.C.) - CARACTERISTIQUES - SYMPTOMES - DESCRIPTIONS SOMMAIRES - syringomyélie - Arnold Chiari syndrome (malformation-AC) - FEATURES - SYMPTOMS - BRIEF DESCRIPTION - syringomyelia -
» Une association de patients solidaires, internationales, réseaux sociaux/Patient organization supportive, international, social networks
» ORPHANET ET L'association AMIS D MOM - ORPHANET - informations et échanges -
» FORUM 1 - 09/2009 ARNOLD CHIARI (syndrome-malformation A.C.) - CARACTERISTIQUES - SYMPTOMES - DESCRIPTIONS SOMMAIRES - syringomyélie - Arnold Chiari syndrome (malformation-AC) - FEATURES - SYMPTOMS - BRIEF DESCRIPTION - syringomyelia -
» FIBROMYALGIE -
» Une association de patients solidaires, internationales, réseaux sociaux/Patient organization supportive, international, social networks
» ORPHANET ET L'association AMIS D MOM - ORPHANET - informations et échanges -
» FORUM 1 - 09/2009 ARNOLD CHIARI (syndrome-malformation A.C.) - CARACTERISTIQUES - SYMPTOMES - DESCRIPTIONS SOMMAIRES - syringomyélie - Arnold Chiari syndrome (malformation-AC) - FEATURES - SYMPTOMS - BRIEF DESCRIPTION - syringomyelia -
» FIBROMYALGIE -
A.M.I.S. des M.O.M :: OBJECTIFS ASSOCIATION DE PATIENTS SOLIDAIRES/ OBJECTIVES OF PATIENT SOLIDARITY ASSOCIATION :: Cliquer ici- pour accéder aux différents sujets-FORUMS-DIVERS - diffusions LIENS - AMIS D MOM - Click here to reach the various subjects - FORUMS-
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
Dim 15 Sep - 19:05 par Admin
» mutuelle complémentaire obligatoire en 2016
Lun 15 Juil - 6:54 par Cristal-diamant
» Quelles actions concrètes pour notre association de patients cette année ?
Mer 22 Mai - 7:01 par MargauxGiraud54
» spina bifida - méningocèle - Myéloméningocèle
Dim 12 Mai - 14:29 par NolwenLH
» Mon histoire avec la Malformation de CHIARI de type 1
Ven 26 Avr - 12:06 par NolwenLH
» CHIARI - REEDUCATION APRES UNE OPERATION- HELP
Ven 22 Mar - 6:46 par AmandineRoux123
» Une association de patients solidaires, internationales, réseaux sociaux/Patient organization supportive, international, social networks
Ven 8 Mar - 5:39 par Ellie16
» la maladie de Paget
Ven 26 Jan - 7:55 par VincentGauthier54
» Des conseils pour gérer une maladie méconnue ?
Sam 25 Nov - 16:39 par Admin