L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    

    Politique

    Sécurité informatique: les deux textes de loi qui vont bousculer les industriels en 2018

    PARIS (TICpharma) - L’année 2018 s’annonce chargée sur le plan réglementaire pour les industries de santé, qui devront se conformer à deux lois de transposition de la réglementation européenne.

    Un projet de loi relatif à la protection des données, qui comprend notamment des dispositions sur le traitement des données de santé, a été adopté le 13 décembre 2017 en conseil des ministres.

    L'objectif du texte, porté par la garde des sceaux et ministre de la justice, Nicole Belloubet, est d'adapter la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi "Informatique et libertés".

    Il s'agit de transposer le nouveau cadre européen en la matière, composé du règlement européen 2016/679 sur la protection des données (RGPD), applicable à compter du 25 mai 2018, et de la directive 2016/680 du 27 avril 2016, concernant les fichiers de la sphère pénale.

    Ce projet de loi dit "Cnil 2" comporte 24 articles. Son article 13 traite spécifiquement de la question de la protection des données de santé et instaure "de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles".

    L'article prévoit aussi la publication d'un décret cadre, pris après avis de la Commission nationale de l'informatique et des libertés (Cnil), afin d'autoriser l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) par catégorie de responsables de traitement, pour des finalités précises et hors traitements à finalité exclusivement statistique.

    Dans son avis sur ce projet de loi, délibéré le 30 novembre 2017, la Cnil regrettait que le système envisagé sur l'utilisation du NIR "n'offre aucune souplesse aux responsables de traitement" et craignait qu'il ne "freine le développement de dispositifs innovants", faisant explicitement référence aux fournisseurs de solutions de télémédecine.

    Un nouveau dispositif général pour les traitements de données de santé

    L'article 13 réécrit le chapitre de la loi Informatique et libertés consacré aux "traitements de données à caractère personnel dans le domaine de la santé", récemment modifié par la loi de modernisation de notre système de santé du 26 janvier 2016, et qui fixe un régime spécial d'autorisation pour les traitements de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé.

    Les modifications envisagées visent à "conserver les procédures d'accès en vigueur pour les traitements à fin de recherche observationnelle notamment ceux mobilisant le Système national des données de santé (SNDS) et les traitements de données impliquant la personne humaine".

    L'objectif est également d'introduire "un dispositif général permettant de couvrir tous les traitements de données à caractère personnel dans le domaine de la santé impliquant un intérêt public, une saisine éventuelle de l'Institut national des données de santé (INDS) et une autorisation de la Cnil".

    Directive NIS: une nouvelle strate de contrôle des systèmes d’information

    La question de la sécurité des systèmes d’information est, elle, plus spécifiquement posée par la directive européenne 2016/1148 du 6 juillet 2016, dite directive NIS (Network and Information Security), qui doit être transposée dans le droit français d'ici le printemps 2018.

    Un projet de loi de transposition a été adopté en première lecture au Sénat le 19 décembre 2017. Il va être présenté à l’Assemblée nationale le 31 janvier 2018 par le secrétaire d’Etat chargé du numérique, Mounir Mahjoubi.

    La transposition de ce texte s’inscrit dans le prolongement du dispositif de cybersécurité des opérateurs d’importance vitale (OIV) introduit par le législateur français en 2013, dans le cadre de la loi de programmation militaire. Les OIV, privés et publics, sont des opérateurs qui exploitent ou utilisent des installations jugées indispensables pour la survie de la nation et concernent spécifiquement le secteur de la défense.

    Interrogé par TICpharma, Me Pierre Desmarais, avocat spécialisé en droit du numérique, des données et de l'innovation et analyste de risque "système d’information", explique que les OIV touchent déjà le secteur de la santé "puisque s’il y a guerre, la capacité de survie de la nation est en jeu et les services hospitaliers peuvent alors être des OIV".

    La directive NIS appliquée au droit français permettra, au-delà de ces OIV, de renforcer la protection de "nombreux autres acteurs indispensables à la vie quotidienne", souligne l'avocat.

    Le projet de loi prévoit ainsi que les opérateurs qui fournissent des services essentiels (OSE) au fonctionnement de l’économie et de la société appliqueront des règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Ils devront informer l’Anssi des incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent.

    Un impact relatif sur les industriels de santé

    La liste des OSE doit être établie par le premier ministre et publiée au Journal officiel. "Une très bonne tactique législative", estime Me Desmarais, puisqu’elle permet au gouvernement de faire évoluer cette liste régulièrement.

    "La directive NIS est très claire, elle comporte une annexe qui nous précise que les prestataires de soins de santé [c’est-à-dire les établissements de soins publics comme privés, NDLR] doivent être considérés comme des OSE en matière de santé", indique l’avocat.

    Le cabinet du secrétaire d'Etat chargé du numérique a indiqué à TICpharma que cette liste sera notamment établie avec le concours de l'Anssi et de la ministre des solidarités et de la santé, Agnès Buzyn. Elle devra être dévoilée, au plus tard, en octobre 2018.

    Dans le chapitre III du projet de loi de transposition, sont également introduits les "fournisseurs de services numériques", qui seront tenus d’assurer la sécurité de leurs services et de notifier leurs incidents à l’Anssi.

    Les industriels du monde de la santé (laboratoires pharmaceutiques, fabricants de dispositifs médicaux -qui sont déjà soumis au règlement européen sur les dispositifs médicaux- ou entreprises et start-up d’e-santé) peuvent aussi être considérés comme des fournisseurs de services numériques.

    Me Desmarais rappelle qu’est défini comme étant un service numérique "tout service fourni à distance, par voie électronique, contre rémunération". Pour illustrer son propos, l’avocat prend l’exemple du suivi de l’apnée du sommeil. "Nous sommes dans le cadre d’un suivi à distance permis par des dispositifs électroniques contre une rémunération versée par un tiers payeur."

    Par ailleurs, les industriels de la santé devront désigner des représentants qui figureront dans un fichier centralisé de l’Anssi et qui rapporteront les éventuels incidents à l’autorité.

    Un défi organisationnel pour les établissements de santé

    Concernant les établissements de santé, publics ou privés, la transposition de la directive NIS ne devrait pas bouleverser leur fonctionnement.

    L’analyse de risques en matière de sécurité devait, en effet, déjà être appliquée puisque la Haute autorité de santé (HAS) vérifiait que les établissements disposent chacun d’une politique de cybersécurité.

    Le principe de notification des incidents figurait également au programme depuis la loi de modernisation de notre système de santé de 2016, qui a introduit dans le code de la santé publique un article L1111-8-2 imposant aux "établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins" de signaler "sans délai à l’agence régionale de santé (ARS) les incidents graves de sécurité des systèmes d’information".

    A noter également que le RGPD prévoit lui aussi la notification à la Cnil d'incidents liés à la protection des données de santé.

    "La directive NIS va simplement ajouter une strate supplémentaire avec une information différente à envoyer à l’Anssi sur les mesures de sécurité", observe Me Desmarais. "Les établissements continueront à réaliser des analyses de risques mais ils devront aussi subir des contrôles ordonnés par le gouvernement ou l’Anssi qui seront à leurs frais."

    Nesrine Benyahia, docteure en droit public spécialisée en analyse des systèmes de santé et collaboratrice au sein du cabinet Houdart & Associés, insiste également sur l'effort financier auquel devront consentir les établissements de santé. "Il faut disposer de ressources financières pour renforcer les systèmes de sécurité. Or, les établissements ont subi des coupes budgétaires depuis la loi de modernisation de 2016 et la mise en place des GHT [groupement hospitalier de territoire] a aussi un coût", déclare-t-elle auprès de TICpharma.

    L’impact sera aussi organisationnel puisque les établissements devront être capables de notifier l’incident au bon interlocuteur: Cnil, Anssi ou ARS. Me Desmarais juge l’exercice difficile, les établissements de santé faisant déjà face au gros chantier des GHT et à la mutualisation de leurs services.

    Nesrine Benyahia ne croit pas davantage à une application effective de la directive NIS dans les établissements avant la fin du premier semestre 2018. "Les établissements ne seront pas prêts mais ils doivent faire preuve de bonne volonté en amorçant la démarche", dit-elle.

    Comme pour le RGPD, l’entrée en vigueur de la directive NIS doit être effective avant le 9 mai 2018.

    La Rédaction
    redaction@ticpharma.com

    À suivre

    "La DSI a besoin d'être plus visible au sein des industries de santé" (association Cedhys)

    Politique

    Cybersécurité: vers l'adoption du projet de loi de transposition de la directive NIS

    PARIS (TICpharma) - Le projet de loi de transposition de la directive européenne 2016/1148 du 6 juillet 2016, dite directive NIS (Network and Information Security), a été entériné par les deux chambres du Parlement réunis en commission mixte paritaire (CMP) le 5 février.

    0 196

    Acteurs

    Les GAFAM, nouveaux partenaires des industriels pour l’accès aux données de santé

    PARIS (TICpharma) - Les géants du web comme Google, Apple, Facebook, Amazon et Microsoft (GAFAM) détiennent des milliers de données personnelles et sont ainsi des partenaires de choix pour les laboratoires pharmaceutiques, qui cherchent à accéder plus facilement aux données de santé, a constaté TICpharma lors d'une conférence organisée par les Contrepoints de la santé, le 18 janvier.

    0 217

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    5 + 6 =