Le défi de la sécurisation des données patients
La protection des données sensibles est devenue une priorité des laboratoires de biologie médicale, qui doivent répondre de leur conformité à la réglementation mais aussi gérer les menaces informatiques. Ces enjeux nécessitent des investissements à la fois techniques et humains.
Les données structurées issues des laboratoires de biologie médicale représentent plus d’un tiers des données hospitalières récoltées, devant les données médicamenteuses et celles du programme de médicalisation des systèmes d’information (PMSI). Les défis liés à cela sont donc majeurs, tant en termes d’utilisation (suivi du patient, recherche clinique, gestion du laboratoire, etc.) que de sécurisation. Des enjeux qui ne sont d’ailleurs pas que numériques, rappelle Mahdi Aqallal, biologiste médical, expert en protection des données de santé : « Nous sommes aujourd’hui dans une phase transitoire, avec des données numériques – sur le plateau et en phases pré- et post-analytiques – mais aussi des données au format papier qui servent notamment aux échanges entre les laboratoires et les autres intervenants du parcours de soins. » À l’heure où Mon Espace Santé est sur toutes les lèvres, les résultats d’examens sont encore trop souvent envoyés par fax : « Tous les éditeurs de l’écosystème des logiciels en santé ne sont pas encore en capacité de déployer des versions de leurs logiciels conformes aux référentiels du Ségur du numérique, cette situation transitoire va encore durer un certain temps », note-t-il ; et lorsque ce sera fait, « ces nouveaux usages des données seront mis au défi de l’organisation : il va falloir former les soignants dans les hôpitaux, les Ehpad, les maisons de santé, les prescripteurs et les infirmiers en ville, etc. »
Des menaces multiformes
Plusieurs laboratoires ont été victimes de cyberattaques ces dernières années, lors desquelles des données liées aux patients, très prisées des pirates, ont été dérobées. Celles-ci « sont multiformes, comme les attaques », insiste Mahdi Aqallal. Les laboratoires doivent s’assurer que leurs logiciels de sécurité informatique sont au niveau, mais aussi former les utilisateurs à la bonne hygiène informatique. Pour l’expert, « cela passe a minima par l’application des principes de précaution qui découlent du règlement général sur la protection des données (RGPD), du code de conduite en biologie médicale et des bonnes pratiques publiées par le CERT Santé [le portail de référence concernant la cybervigilance en santé N.D.L.R] ». Pour cela, « il faut investir dans les ressources humaines », et que cet investissement soit dirigé vers tous les étages du processus de décision. « Il est important d’avoir une gouvernance qui sache où elle investit, et un pilotage continu pour adapter la sécurité aux évolutions des organisations. » Pour le biologiste, des sujets tels que les regroupements ou réorganisations de laboratoires sont « aussi des enjeux cyber » qu’il faut aborder, du fait de leurs impacts sur le système d’information. La solution « n’est jamais uniquement technique, elle est d’abord organisationnelle : elle consiste à sensibiliser les personnes et à définir une organisation permettant, dans la pratique, de mettre en œuvre les processus recommandés », résume l’expert.