Données de santé : « L’opticien risque de lourdes amendes en cas de non-conformité du logiciel magasin »

Cyril Bailly est le PDG de Cosium, un des principaux éditeurs de logiciels pour les magasins d’optique. A l’heure ou les pouvoirs publics mettent l’accent sur le développement du numérique en santé (e-Carte Vitale, Mon espace santé, ordonnance numérique…), il fait le point sur les enjeux du respect de la réglementation en matière de données de santé.

L’OL [MAG] : La plupart des logiciels métiers utilisés par les opticiens utilisent désormais le cloud. Comment peuvent-ils être rassurés quant à la sécurité des données de leurs clients, notamment de santé, qu’ils stockent et échangent avec leurs interlocuteurs ?

Cyril Bailly : Effectivement, le cloud s’est généralisé, alors même qu’il y a une quinzaine d’années, la plupart des éditeurs le jugeaient risqué. Il faut d’abord souligner que la sécurité de données de santé en ligne n’est pas une option mais une obligation légale, pour le professionnel de santé, mais aussi pour l’éditeur et l’hébergeur. Pour s’assurer de la conformité de la solution qu’il utilise, l’opticien doit demander à son éditeur l’attestation ISO 27 001, ainsi que les attestations HDS (Hébergeur de données de santé), qui prouveront l’utilisation d’un hébergeur agréé. Si l’éditeur sous-traite l’hébergement à un autre prestataire, il devra fournir les attestions de ce dernier, ainsi que le contrat détaillé entre l’éditeur et l’hébergeur définissant le périmètre et les responsabilités de chacun. Cette vérification est technique pour les non-initiés. Il peut donc être judicieux de se faire accompagner d’un DPO (data protection officer) ou d’un avocat spécialisé pour vérifier la conformité de son système d’information.

Ces obligations s’appliquent-elles aux logiciels fonctionnant en local ?

Les obligations de mettre en sécurité les données des patients sont aussi valables en local, surtout si le système d’information est connecté à internet, ce qui est souvent le cas. Cela contraint à avoir des systèmes de sécurité et des contrats de maintenances adaptés qui rendent souvent le dispositif plus coûteux et complexe qu’un logiciel en cloud.

Que risque l’opticien qui n’utilise pas une solution conforme au cadre réglementaire ?

La loi prévoit de très lourdes amendes et des condamnations pénales. L’opticien est tenu de respecter les obligations et de mettre les données des patients en sécurité. Ne pas respecter les obligations RGPD et HDS, c’est juste interdit, autant que l’exercice illégal de la profession. Il faut être particulièrement vigilant aujourd’hui dans un contexte de multiplication des piratages et des condamnations pour non-respect de la réglementation. J’ajouterai que vérifier la conformité de son logiciel, c’est aussi s’informer sur qui héberge ces données et leur lieu de stockage. Il est aujourd’hui rare que ce soit en France. Or, la souveraineté numérique est devenue une priorité de l’agenda politique, pour de multiples raisons. A l’heure où tout le monde met en avant le made in France il est temps de le faire aussi dans la technologie. La France est aussi un pays d’ingénieurs. Ne laissons pas partir la valeur de nos entreprises technologiques à l’étranger.