Texte de la question
M. Yves Foulon appelle l'attention de Mme la ministre des affaires sociales et de la santé sur la protection et la gestion des données médicales individuelles. En effet, il existe en France un cadre juridique protecteur des données génétiques qui en garantit la confidentialité sous le contrôle de la CNIL. Toutefois, la constitution de vastes bases de données de génétique des populations constitue un changement d'échelle et impose de compléter ce dispositif. Il importe de sécuriser le futur dossier médical personnel et de sensibiliser les personnels de santé à cette protection. Le traitement numérique des données de séquençage à haut débit implique des outils de stockage d'une dimension nouvelle, ce qui devient difficile à contrôler. Seuls des supercalculateurs couplés à d'énormes capacités de mémoire sont en mesure d'en assurer l'analyse et la gestion sécurisée. Les moyens de la CNIL devraient été renforcés pour en garantir la sécurité. La question de l'archivage et du retraitement périodique des données constitue également un défi crucial, d'autant que l'avenir de la médecine personnalisée impliqué un partage scientifique de l'accès des chercheurs aux grandes banques de données antonymies. Il souhaite par conséquent savoir quelles sont les intentions du Gouvernement en la matière et ce qu'il compte faire afin de protéger et sécuriser les données médicales individuelles de nos concitoyens.
Texte de la réponse
Alors qu'une révolution numérique touche aujourd'hui le monde de la santé, comme de multiples autres secteurs d'activité, ses avantages sont de mieux en mieux perçus pour la qualité du système de santé. Toutefois, corrélativement, des menaces apparaissent et la « cybercriminalité » multiplie les attaques sur les sources de données de santé sensibles et sur les systèmes informatiques des professionnels et les établissements de santé avec un fort risque sur la sécurité des prises en charge des patients. Ce risque n'est pas propre à la France et au monde de la santé mais notre pays s'y prépare activement dans le cadre d'initiatives nationales et de démarches de coopération au niveau européen. Il est essentiel que le développement de l'e-santé (qui inclut le domaine médico-social) et des usages du numérique en santé se fasse dans un cadre de confiance permettant l'acceptation de l'innovation par les citoyens, les patients et les professionnels. Il importe donc que l'Etat et les pouvoirs publics, l'ensemble des acteurs de santé, mais aussi l'ensemble des citoyens prennent toute la mesure de leurs responsabilités dans ce domaine pour en garantir le bon fonctionnement. Pour sa part, en articulation avec le plan gouvernemental contre la cybercriminalité, le ministère des affaires sociales et de la santé a pris la mesure de la menace et conduit avec détermination depuis plusieurs années, un ensemble d'actions visant à assurer un haut niveau de protection des systèmes d'information et des données de santé. Il s'agit bien sûr de lutter contre la malveillance (phénomène de piratage), mais également d'éviter les dysfonctionnements liés à des erreurs humaines ou à un défaut de formation ou de sensibilisation des utilisateurs. La politique de sécurité des systèmes d'information pour les ministères chargés des affaires sociales (PSSI-MCAS), déclinaison de la politique de sécurité des systèmes d'information de l'Etat, a été approuvée par arrêté ministériel du 1er octobre 2015. Par ailleurs, sous le pilotage de la délégation à la stratégie des systèmes d'information de santé (DSSIS), avec le concours de l'agence des systèmes d'information partagés de santé (ASIP Santé), les premiers éléments d'une "Politique générale de sécurité des systèmes d'information de santé (PGSSI-S) " ont été publiés dès 2013 et un ensemble de référentiels et de guides ont été régulièrement produits depuis. La PGSSI-S s'applique à l'ensemble des acteurs de santé, établissements et professionnels, quels que soient les modes d'organisation et les lieux d'exercice. Le dispositif d'agrément des hébergeurs de données de santé mis en œuvre sur la base des dispositions du décret du 4 janvier 2006 s'est fortement développé. Depuis la mise en place du comité d'agrément des hébergeurs, début 2009, 292 dossiers ont été réceptionnés, 138 dossiers ont été agréés, 69 ont été refusés et 57 sont en cours de procédure. Afin de rendre les systèmes d'information plus performants, en particulier en termes de qualité et de sécurité des soins, le ministère a lancé, en novembre 2011, le programme « Hôpital numérique ». Dans ce cadre, un guide pour les directeurs d'établissement de santé « Introduction à la sécurité des systèmes d'information », a été publié en novembre 2013. Il est en cours d'actualisation. Au niveau des régions, il revient aux agences régionales de santé d'assurer le pilotage de l'e-santé et de veiller à la mise en œuvre des mesures de sécurisation des systèmes d'information de santé. La loi de modernisation de notre système de santé (LMSS) comprend un ensemble de dispositions faisant évoluer sensiblement le cadre de l'e-santé dans le sens de la simplification et de la sécurisation de l'utilisation des données de santé. Il convient de citer notamment : - l'obligation de signalement aux ARS et aux autorités compétentes de l'Etat, les incidents graves de sécurité des systèmes d'information prévue par l'article 110 (art. L.1111-8-2 du CSP) ; - 'opposabilité de référentiels d'interopérabilité et de sécurité par voie d'arrêté ministériel (art. 96 de la LMSS et art. L.1110-4-1 du CSP) ; ainsi, il est prévu que les référentiels publiés de la PGSSI-S sur l'authentification et l'identification des acteurs de santé soient rendus opposables par arrêté en 2017 ; - l'article 107 (art. 6132-1 et suivants du CSP) relatif aux groupements hospitaliers de territoires (GHT), confère à ceux-ci une responsabilité en matière de systèmes d'information qui comprend la dimension sécurité des systèmes d'information (le ministère prépare actuellement à l'attention des GHT un guide qui comportera un chapitre sur ce thème) ; - l'article 204-I-5 prévoit que soit définie par ordonnance la réforme du dispositif d'agrément des hébergeurs de données de santé dans le sens d'une certification sur vérification de conformité technique à un référentiel défini par les pouvoirs publics. La Commission européenne mène également une action dynamique en matière de protection des données sensibles et de sécurité du numérique et contribue à construire un cadre juridique adapté avec plusieurs règlements et directives adoptés récemment : - règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (dit « règlement eIDAS) ; -Règlement (UE) no 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ; - projet de Directive (EU) du parlement européen et du conseil on Security of Network and Information Systems (dite Directive « NIS ») adoptée le 6 juillet par le Parlement européen. Ce texte qui doit participer à la construction d'un marché unique du numérique dans l'UE, a pour objectif de renforcer la réactivité des 28 États membres et de stimuler la coopération entre les autorités de lutte contre la cybercriminalité, tout en leur donnant des moyens techniques et légaux appropriés. Lors de la présentation des orientations de la stratégie nationale pour l'e-santé, le 4 juillet 2016, la ministre des affaires sociales et de la santé a notamment insisté sur la nécessaire confiance qui doit accompagner le développement du numérique en santé et a annoncé un plan d'action sur la sécurisation des systèmes d'information.