Données de santé : sécuriser vos fenêtres

01/04/2015, publié par Stevy Matton
données de santé

Les données de santé revêtent un caractère très spécifique, voire intime avec leur propriétaire et doivent être protégées comme telles. En cas de faille de sécurité, les tracas inhérents seront des plus douloureux : perte d’image, perte de clientèle, communication institutionnelle, communication avec les patients concernés, procédures judiciaires, inspection de la CNIL. La CNIL qui rappelle d’ailleurs sur son site que la sécurité des données de santé est un “impératif” pour les laboratoires.

Données de santé : les laboratoires à la fois experts et novices en la matière

On ne peut en effet que constater la multiplication des échanges patients-praticiens sur le net, l’avènement de la médecine digitale et l’apparition des premiers programmes d’accompagnement patients des laboratoires pharmaceutiques. Ces nouvelles pratiques génèrent et continueront de générer une quantité exponentielle de données bien particulières dites “de santé”.

Les laboratoires pharmaceutiques sont depuis longtemps aguerris à la protection des données entourant brevets et recherches ainsi qu’à la protection de la propriété intellectuelle.
De plus, le contexte réglementaire et légal impose des restrictions fortes en termes d’hébergement des données de santé. Les hébergeurs doivent ainsi être détenteurs d’un agrément spécifique délivré par le ministre en charge de la Santé, garantissant confidentialité et sécurité. Deux bonnes raisons qui pourraient a priori indiquer que nos précieuses données sont à l’abri.

Cependant, et a contrario des autres secteurs d’activité, les laboratoires entrent dans l’interaction digitale directe avec les patients, sans passer par les cases e-commerce et e-marketing, ces activités leur étant toujours légalement inaccessibles. De ce fait, le risque est grand qu’une démarche novice en terme de mise en œuvre de dispositif de relation client, non forgée sur l’expérience de précédents hacking puisse déboucher au final sur quelques “fenêtres ouvertes” sur les bases de données. Une donnée, même hébergée avec sécurité, pourra être dérobée si elle est rendue accessible par le site web.
Aussi nous ne saurions que trop conseiller aux laboratoires pharmaceutiques se lançant dans toute démarche de relation directe avec leurs patients :

  • d’appliquer à toute démarche de relation patients l’ensemble des protocoles de contrôles et d’audit déjà rodés sur la partie produits et distribution ;
  • de faire appel à des sociétés spécialisés (parfois d’anciens hackers !) pour tester et valider leur dispositif en terme sécurité des données ;
  • de recruter ou de se faire accompagner par des professionnels de la relation client ayant éprouvé la même démarche à grande échelle sur d’autres secteurs d’activité.

Il serait en effet dommage que les rêves de relation directe avec les patients laissent place à un cauchemar juridique et financier…