4 CLÉS POUR SÉCURISER SES DONNÉES

Plus simples à sécuriser que les grandes entreprises, les TPE sont toutefois pénalisées par le manque de compétences informatiques en interne », constate Frédéric Pazos, chargé de mission TIC à la chambre de commerce et d’industrie (CCI) de Digne (Alpes-de-Haute-Provence). Cela vaut pour l’officine, en dépit d’enjeux éthiques, économiques et réglementaires. « La masse de données professionnelles et de santé stockées et échangées par les pharmaciens est en augmentation constante », indique Jérôme Lapray, responsable marketing de l’éditeur de logiciels Pharmagest. Si le DP, la télétransmission ou encore les commandes en ligne ont contribué à cette montée en puissance, celle-ci devrait se poursuivre dans les prochaines années avec le développement de l’e-santé. La responsabilité du professionnel de santé vis-à-vis de la confidentialité des données personnelles n’en est dès lors que plus engagée (voir encadré p. 37). « Lorsqu’on ouvre un DP, on insiste sur cette notion. Si on trompe la confiance du patient, c’est tout le système qui est remis en question », rappelle Alain Delgutte, président de la section A de l’Ordre des pharmaciens. Outre le risque de fuite, « le mauvais contrôle de certaines données peut conduire à des erreurs de dispensation », note Jérôme Lapray. Il est également bon de rappeler que l’erreur et la négligence sont plus souvent en cause que la malveillance. Dès lors, pour l’avocat en droit de la santé Pierre Desmarais, « la mise en place d’une politique de sécurisation du système d’information doit être perçue comme un investissement, non comme une contrainte ».

1 Sécuriser l’officine elle-même

« Les risques les plus élevés sont liés à des facteurs matériels : panne, incendie, vol… », rappelle Frédéric Pazos. C’est pourquoi le premier réflexe consiste à protéger les locaux et le matériel avec des équipements adaptés : alarmes et vidéoprotection pour prévenir les intrusions, dispositifs anti-incendie, détecteur de température, onduleur destiné à compenser une éventuelle surcharge des variations électriques… Sans oublier les précautions d’usage dans l’aménagement des postes de travail.

2 Contrôler les accès des réseaux et systèmes

L’utilisation des différents postes et logiciels équipant l’officine doit être encadrée pour répondre aux besoins sans créer de vulnérabilités. La mise en place d’habilitations – prévue par certains logiciels de gestion – permet de réserver certaines opérations à des profils d’utilisateurs déterminés. Des règles de connexion, incluant le choix de mots de passe longs et complexes, et de déconnexion des postes de travail (avec verrouillage automatique au bout d’une certaine durée d’inactivité) doivent être mises en place et respectées. Les données sensibles conservées sur des supports portables doivent également faire l’objet d’un accès sécurisé.

Indispensable au quotidien, la connexion Internet de l’officine doit être placée sous haute surveillance. « Dans le cas d’une TPE, le risque porte moins sur du piratage ciblé que sur des attaques lancées au hasard », précise Frédéric Pazos. Au-delà de la présence de pare-feu et d’antivirus à jour sur chaque poste de travail, « le pharmacien doit opter pour un fournisseur d’accès professionnel et donc sécurisé, tel qu’en proposent les éditeurs de logiciels spécialisés mais également les opérateurs historiques », rappelle Alain Delgutte. Or « moins de 50 % des pharmacies suivent cette recommandation ordinale », déplore Jérôme Lapray. Enfin, « il faut surveiller les évolutions du système informatique dans lequel évolue l’officine : par exemple, Microsoft cessera toute maintenance, et donc tout filtrage d’éventuels virus, sur son très populaire système d’exploitation Windows XP à partir d’avril », avertit Frédéric Pazos.

3 Sauvegarder sans modération

« Le disque dur, qui contient tous les éléments les plus importants, est aussi le plus fragile du système, rappelle Frédéric Pazos. Une panne ou un événement matériel n’étant jamais à exclure, le titulaire doit impérativement mettre en place des sauvegardes sur plusieurs supports, réalisées et vérifiées régulièrement. » Deux disques durs sur un serveur restent indispensables. Mais il faut également prévoir un support amovible et un support placé en lieu sûr, hors de l’officine. Certains systèmes assurent une sauvegarde automatique des données en temps réel. Amenées à se développer, les solutions « cloud » (avec cryptage des données) doivent faire l’objet d’une vigilance particulière quant au choix du prestataire car les informations sont susceptibles d’être réparties dans plusieurs serveurs à travers le monde, y compris dans des pays moins respectueux de la vie privée qu’en France. Enfin, lors d’un changement de système, il faudra détruire la totalité des données sur les supports obsolètes.

4 Responsabiliser l’équipe

« Le titulaire étant responsable des données qu’il héberge mais aussi des actes de ses employés, il est essentiel de former son équipe à la confidentialité », souligne Alain Delgutte. Quelle que soit la taille de l’officine, la mise en place d’une charte informatique est fortement recommandée. Mais pas question de tout interdire : « Les dispositions doivent être applicables, compréhensibles, appuyées sur des exemples concrets liés à l’activité de l’officine et aux risques en jeu, récapitule Frédéric Pazos. Un certain nombre de CCI proposent un accompagnement sur ce sujet ». Outre les bonnes pratiques, le texte de la charte doit définir les responsabilités de chacun et les actions à entreprendre en cas d’incident. « Sans garantir une sécurité totale, ce document peut être opposé aux salariés, s’il a été signé, dans le cas où un patient se retourne contre l’officine », indique Pierre Desmarais. La responsabilisation des collaborateurs passe enfin par la mise en place de comptes utilisateurs nominatifs qui permet une traçabilité des actions effectuées sur les fichiers.

Pour plus d’infos

La liste des hébergeurs de données de santé agréés http://bit.ly/1eza7Qw

A propos de la fin de la maintenance de Windows XP http://bit.ly/1e9Qpjo

Le « Guide de la confidentialité des données de patients de l’Ordre »

Le « Guide des professionnels de santé de la CNIL »

AVIS D’EXPERT

« La loi oblige à garantir la confidentialité des données »

PIERRE DESMARAIS, AVOCAT SPÉCIALISÉ EN DROIT DE LA SANTÉ

« Différents textes encadrent la responsabilité juridique du pharmacien vis-à-vis des données informatiques qu’il traite. En tant que professionnel de santé, le secret professionnel l’oblige à la mise en place de mesures de sécurité destinées à prévenir la divulgation de données confidentielles. Le manquement à cette obligation peut être réprimé civilement et pénalement. Dans la première hypothèse, si la qualification “d’atteinte à la vie privée” est retenue, nul besoin pour le patient victime de prouver un préjudice. Dans la seconde, la sanction peut atteindre jusqu’à un an de prison et 15 000 € d’amende (article 226-13 du Code pénal). Le risque pénal est plus élevé, quoique rare en pratique, dans le cadre de la loi informatique et libertés. Celle-ci impose au titulaire, en tant que responsable de traitement de données à caractère personnel, d’en garantir la sécurité et la confidentialité (article 34). A défaut, il encourt cinq ans d’emprisonnement et 300 000 € d’amende (article 226-17 du Code pénal). Par ailleurs, l’externalisation de l’hébergement de données de santé doit se faire par l’intermédiaire d’un prestataire agréé par le ministère. »