A l’heure où les pouvoirs publics mettent l’accent sur le développement du numérique en santé (Mon espace santé, carte vitale dématérialisée, ordonnance numérique…), Cyril Bailly, PDG de Cosium, l’un des principaux éditeurs de logiciels pour les centres auditifs, fait le point sur le respect de la réglementation sur les données de santé.
L’Ouïe Magazine : Aujourd’hui, la plupart des logiciels métier utilisés par les audioprothésistes utilisent le cloud. Peuvent-ils être rassurés quant à la sécurité des données de leurs patients, stockées ou échangées avec leurs interlocuteurs ?
Cyril Bailly : Le cloud s’est effectivement généralisé, alors même qu’il y a une quinzaine d’années la plupart des éditeurs le jugeaient risqué. Il faut d’abord souligner que la sécurité de données de santé en ligne n’est pas une option mais une obligation légale, pour le professionnel de santé, mais aussi pour l’éditeur et l’hébergeur. Pour s’assurer de la conformité de la solution qu’il utilise, l’audioprothésiste doit demander à son éditeur l’attestation ISO 27 001, ainsi que les attestations HDS (Hébergeur de données de santé), qui prouveront l’utilisation d’un hébergeur agréé. Si l’éditeur sous-traite l’hébergement à un autre prestataire, il devra fournir les attestions de ce dernier, ainsi que le contrat détaillé entre l’éditeur et l’hébergeur définissant le périmètre et les responsabilités de chacun. Cette vérification est technique pour les non-initiés. Il peut donc être judicieux de se faire accompagner d’un DPO (data protection officer) ou d’un avocat spécialisé pour vérifier la conformité de son système d’information.
Ces obligations s’appliquent-elles aux logiciels fonctionnant en local ?
Les obligations de mettre en sécurité les données des patients sont aussi valables en local, surtout si le système d’information est connecté à internet, ce qui est souvent le cas. Cela contraint à avoir des systèmes de sécurité et des contrats de maintenance adaptés qui rendent souvent le dispositif plus coûteux et complexe qu’un logiciel en cloud.
Que risque l’audio qui n’utilise pas une solution conforme au cadre réglementaire ?
La loi prévoit de très lourdes amendes et des condamnations pénales. L’audioprothésiste est tenu de respecter les obligations et de mettre les données des patients en sécurité. Ne pas respecter les obligations RGPD et HDS, c’est juste interdit, autant que l’exercice illégal de la profession. Il faut être particulièrement vigilant aujourd’hui dans un contexte de multiplication des piratages et des condamnations pour non-respect de la réglementation. J’ajouterai que vérifier la conformité de son logiciel, c’est aussi s’informer sur qui héberge ces données et leur lieu de stockage. Il est aujourd’hui rare que ce soit en France. Or, la souveraineté numérique est devenue une priorité de l’agenda politique, pour de multiples raisons. A l’heure où tout le monde met en avant le made in France il est temps de le faire aussi dans la technologie. La France est aussi un pays d’ingénieurs. Ne laissons pas partir la valeur de nos entreprises technologiques à l’étranger !