Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 351

nécessaires à la coordination ou à la
continuité des soins, à la prévention,
ou au suivi médico-social et social de
ladite personne ;
■ il entre dans le périmètre de leurs
missions.
Les professionnels en informent préalablement la personne concernée. Ils tiennent
compte, pour la mise en œuvre de ce
partage, des recommandations élaborées par la Haute autorité de santé avec
le concours des ordres professionnels, en
particulier pour ce qui concerne les catégories d'informations qui leur sont accessibles.
A noter que ces recommandations n'ont pas
encore été établies mais qu'il ne peut s'agir
d'un motif de non-respect des conditions
fixées par les articles R1110-1 à 3 du CSP.
D'une façon générale, il paraît donc essentiel, en l'absence de procédure de contrôle a
priori (de type autorisation administrative),
que toute équipe de soins détermine un
porteur chargé de s'assurer des contours de
cette équipe et au-delà, qu'il relève de son
rôle d'informer et de mettre en place toute
mesure permettant de :
■ rappeler que tous les membres de
l'équipe de soins sont tenus au secret
professionnel, dans les conditions
prévues aux articles 226-13 et 226-14 du
code pénal ;
■ de veiller au respect des règles
d'échange et de partage des données
de santé. En effet, l'appartenance à
l'équipe de soins n'emporte pas le droit
pour chaque membre de l'équipe de
soins d'échanger et de partager toutes
les données relatives aux personnes
prises en charge.

L'OBLIGATION DE FIXER
DES MESURES DE SÉCURITÉ
ADAPTÉES À LA SENSIBILITÉ
DES DONNÉES DE SANTÉ
ÉCHANGÉES OU PARTAGÉES
Outre le respect des règles de droit
commun relatif à l'échange et au partage
des données de santé qui viennent d'être
exposées, le recours aux nouvelles
technologies pour réaliser la mise à
disposition des données médicales, sous la
forme en particulier d'un échange ou d'un
partage tel que définis supra, entraîne
la création d'un traitement informatisé
de données à caractère personnel au
sens de la loi Informatique et libertés.
Cela implique pour le responsable du
traitement de prendre des mesures

de sécurité adaptées à la sensibilité
des données et conforme aux règles et
référentiels applicables en la matière.
Parmi ces mesures de sécurité, certaines
peuvent, non pas remplacer, mais aider
et même pour certaines tâches suppléer
partiellement les professionnels dans
l'appréciation de leurs droits d'accéder
aux données de santé aux fins d'échange
et de partage.

Le respect des référentiels de
sécurité et d'intEropérabilité
Les mesures de sécurité visées à l'actuel
article 34 de la loi Informatique et libertés3
doivent être fixées au cas par cas, au vu
des conclusions d'une analyse de risques.
Au surplus, les professionnels de santé,
établissements et services de santé,
hébergeurs de données de santé à
caractère personnel et tout autre organisme
participant à la prévention, aux soins ou
au suivi médico-social et social doivent
s'assurer que les systèmes d'informations
utilisés pour le traitement de données
de santé respectent les référentiels de
sécurité et d'interopérabilité visés à l'article
L1110-4 1 créé par la loi de santé. Ces
référentiels d'interopérabilité et de sécurité
sont élaborés par le groupement d'intérêt
public mentionné à l'article L. 1111-24.
Ces référentiels sont approuvés par arrêté
du ministre chargé de la Santé, pris
après avis de la Commission nationale
de l'informatique et des libertés. Les
référentiels et documents associés de
la Politique générale de sécurité des
systèmes d'information de santé (PGSSI-S)
sont établis sur le fondement de cet article.
S'agissant des éférentiels de sécurité,
leur champ d'application est centré sur la
sécurité applicative.
Parmi les mesures de sécurité pouvant
aider le responsable du système
d'information à respecter les conditions
fixées par la loi pour l'échange et le
partage des données de santé, figure la
gestion des habilitations. A cet égard, on
soulignera que l'équivalent n'existe pas
dans le monde du papier alors que les
risques de mésusages et de fuites existent.
La procédure d'attribution des habilitations
doit aider le professionnel à remplir ses
obligations le plus efficacement possible
en déterminant « qui a accès à quoi » dans
le respect du cadre légal. Ces règles sont
déclinées dans le guide des habilitations
de la PGSSI-S mis à la concertation.

EXPERTISES OCTOBRE 2017

L'exemple des mesures de
gestion des habilitations
d'accès au système
d'information
Pour que les habilitations puissent être
définies et traduites en autorisations
d'accès aux données traitées dans le
système d'information dont les données
de santé à caractère personnel, il faut au
préalable que soient mises en Suvre des
fonctions, d'une part, d'enregistrement
et d'identification des acteurs et, d'autre
part, d'authentification des acteurs. Il
convient d'identifier les habilitations qu'il
est prévu de pouvoir octroyer (s'il y a lieu),
avec le contexte d'usage, les conditions
et les limites, la durée et les contrôles a
posteriori qui doivent alors être appliqués,
y compris pour la gestion de situations
exceptionnelles.
Ainsi, par exemple, les mesures permettant
la gestion des habilitations ne doivent
pas être un obstacle à la prise en charge
d'une personne en urgence. Dans ce type
précis de situation, un accès de type « bris
de glace » permet d'attribuer des droits
que l'utilisateur n'a pas en fonctionnement
nominal et doit donner lieu à des traces et à
un suivi spécifiques.
En outre, l'exercice quotidien des professionnels passe par la mise en place de
délégations de tâches, et donc de responsabilités. Au plan technique, il convient
donc que la matrice d'habilitation prévoit
expressément le recours à la délégation
d'habilitation, qui devra tenir compte des
droits et obligations définis par les textes et
de l'organisation propre à la structure dans
laquelle le professionnel exerce. A titre
d'illustration, les règles relatives au dossier
médical partagé incluent une matrice d'habilitation précise : les professionnels ont
accès aux seules informations strictement
nécessaires à la prise en charge du titulaire
du dossier médical partagé dans le respect
des règles de gestion des droits d'accès
fixées par la Caisse nationale de l'assurance maladie des travailleurs salariés, en
collaboration avec les conseils nationaux
des ordres des professionnels de santé et
après avis de la Commission nationale
de l'informatique et des libertés4. Cette
matrice doit être prochainement publiée
sur le site internet de la Caisse nationale de
l'assurance maladie des travailleurs salariés ; d'autres matrices peuvent être mises
en place au cas par cas.

351



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428

Couverture
Editorial & Sommaire
FOCUS DONNÉES - VERS LA LIBRE CIRCULATION
EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW OPEN DATA LOCAL : OBSTACLES ET PERSPECTIVES
DOCTRINE
PROPRIÉTÉ INTELLECTUELLE - PROTECTION DES ALGORITHMES ET SECRET DES AFFAIRES
DONNÉES PERSONNELLES - MISE À DISPOSITION DES DONNÉES DE SANTÉ
VIE PRIVÉE - LA CEDH RESTREINT LA CYBERSURVEILLANCE DES SALARIÉS PAR L’EMPLOYEUR
PROFESSIONS RÉGLEMENTÉES - LA COMPARAISON ET LA NOTATION DES AVOCATS AUTORISÉES !
DONNÉES PERSONNELLES - HÉRITIERS : QUELLE TRANSMISSIBILITÉ DES DROITS SUR LES DONNÉES DU DÉFUNT ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - FOCUS DONNÉES - VERS LA LIBRE CIRCULATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 325
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 326
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 327
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 329
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 330
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 331
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 332
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 333
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - INTERVIEW OPEN DATA LOCAL : OBSTACLES ET PERSPECTIVES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 335
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 336
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 337
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 338
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 339
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - PROPRIÉTÉ INTELLECTUELLE - PROTECTION DES ALGORITHMES ET SECRET DES AFFAIRES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 341
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 342
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 343
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 344
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 345
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 346
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 347
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - DONNÉES PERSONNELLES - MISE À DISPOSITION DES DONNÉES DE SANTÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 349
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 350
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 351
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 352
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - VIE PRIVÉE - LA CEDH RESTREINT LA CYBERSURVEILLANCE DES SALARIÉS PAR L’EMPLOYEUR
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 354
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 355
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - PROFESSIONS RÉGLEMENTÉES - LA COMPARAISON ET LA NOTATION DES AVOCATS AUTORISÉES !
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 357
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - DONNÉES PERSONNELLES - HÉRITIERS : QUELLE TRANSMISSIBILITÉ DES DROITS SUR LES DONNÉES DU DÉFUNT ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 359
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2017 - n°428 - 360
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com