Phylapp
Interopérabilité et circulation sécurisée des données de santé

L’équilibre entre partage d’information et protection des patients

L'équilibre entre partage d'informations médicales et protection des patients repose sur la minimisation des données, la pseudonymisation, la gestion du consentement et la transparence envers les patients.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 13 lectures

Points clés

  • Le partage de données de santé est nécessaire à la qualité des soins — mais chaque partage non strictement justifié constitue une violation du principe de minimisation des données du RGPD.
  • L'équilibre entre partage et protection ne peut être atteint que par une approche basée sur les finalités et les besoins réels, pas sur la facilité technique d'accès.
  • La pseudonymisation et l'anonymisation sont des outils techniques permettant de partager de l'information médicale utile sans exposer inutilement les patients identifiables.
  • Le consentement des patients et leurs droits sur leurs données doivent être intégrés dans la conception des architectures d'échange — pas gérés comme une contrainte légale externe.
Cas US LastPass (données excessivement partagées) — La violation de LastPass a notamment exposé des métadonnées de coffres-forts que l'entreprise avait conservées sans chiffrement, estimant qu'elles n'étaient pas sensibles. Ces métadonnées se sont révélées exploitables pour des attaques ciblées. Dans le contexte de la santé, des données considérées comme « peu sensibles » — dates de consultation, spécialités consultées — peuvent permettre d'inférer des diagnostics. Le principe de minimisation doit s'appliquer à tous les niveaux de données, pas seulement aux données cliniques explicites.

Le principe de minimisation des données dans les échanges

Le principe de minimisation des données — un des principes fondamentaux du RGPD — impose que seules les données strictement nécessaires à la finalité de l'échange soient effectivement échangées. En pratique, cela signifie que les requêtes FHIR doivent être paramétrées pour ne renvoyer que les ressources et les champs effectivement nécessaires, que les interfaces d'échange ne doivent pas exposer la totalité du dossier patient quand seule une partie en est requise, et que les agrégations de données pour la recherche ou l'analyse doivent être réalisées au niveau le plus anonymisé compatible avec l'objectif poursuivi.

Pseudonymisation et anonymisation : des outils techniques différents

La pseudonymisation remplace les identifiants directs (nom, numéro de sécurité sociale) par un pseudonyme — mais le lien entre pseudonyme et identité réelle peut être reconstitué avec la clé de pseudonymisation. Elle réduit le risque d'exposition des données en transit ou en cas de violation, mais ne suffit pas pour constituer une anonymisation au sens du RGPD. L'anonymisation supprime définitivement tout lien avec l'individu identifiable — les données anonymisées ne sont plus des données personnelles et sortent du champ du RGPD. Mais une anonymisation réversible ou insuffisante peut être déclarée insuffisante lors d'un audit.

Les mécanismes de consentement dans les architectures d'échange

Dans le cadre de certains échanges — notamment le DMP et les services de partage de données avec le consentement du patient — le consentement du patient doit être recueilli, enregistré, et vérifiable par les systèmes d'échange. L'architecture doit intégrer des mécanismes permettant de vérifier le consentement avant d'autoriser l'accès à certaines catégories de données, de permettre au patient de retirer son consentement avec effet immédiat sur les accès, et de tracer les accès réalisés dans le cadre du consentement. SMART on FHIR inclut des mécanismes de gestion du consentement qui peuvent servir de base à cette implémentation.

Cas EU EasyJet (données exposées au-delà du nécessaire) — La violation d'EasyJet a exposé des données qui n'auraient pas dû être accessibles ensemble dans le système compromis — une violation du principe de minimisation. Dans le domaine de la santé, des architectures qui centralisent trop de données dans des systèmes accessibles via des interfaces d'échange exposent un périmètre de données potentiellement beaucoup plus large que nécessaire en cas de compromission. La segmentation des données par finalité réduit cette exposition.

La transparence envers les patients sur les échanges

Les patients ont le droit d'être informés des échanges réalisés avec leurs données de santé — avec qui, pour quelle finalité, et sur quelle base légale. Cette information doit être fournie de manière accessible dans les politiques de confidentialité des établissements. Dans le cadre de l'EHDS, les patients auront également le droit de consulter un journal des accès à leurs données de santé dans l'espace de santé numérique. Les architectures d'échange doivent être conçues pour alimenter ces journaux accessibles aux patients — une dimension encore peu intégrée dans les architectures actuelles.

Gérer les conflits entre partage et protection

Des situations de tension entre partage et protection surviennent régulièrement : un professionnel de santé veut accéder au dossier complet d'un patient pour un motif médical légitime, mais l'architecture restreint l'accès aux données d'autres établissements. Ces tensions doivent être résolues par des processus de rupture de séquestre (bris de glace) documentés, traçables, et justifiés médicalement — pas par des accès illimités accordés par défaut pour éviter les frictions. La gestion des situations d'urgence médicale nécessite des procédures spécifiques de déblocage temporaire avec traçabilité renforcée.

Cas Asie Toyota (minimisation des données dans la supply chain) — Toyota a développé une approche de partage minimal de données avec ses fournisseurs — chaque partenaire n'accède qu'aux données strictement nécessaires à sa contribution dans la chaîne de production. Cette approche réduit l'exposition en cas de compromission d'un partenaire. Le même principe — partager uniquement ce qui est nécessaire, avec qui c'est nécessaire, pour le temps que c'est nécessaire — est directement applicable aux architectures d'échange de données de santé.

Articles similaires

La circulation des données de santé impose un niveau de sécurité inédit

La circulation des données de santé impose des exigences de sécurité spécifiques : chiffrement en transit et au repos, authentification forte, contrôle d'accès RBAC, et journalisation exhaustive.

24 mai 2026 7 min

Pourquoi l’interopérabilité élargit la surface de risque des organisations de santé

L'interopérabilité en santé (FHIR, HL7, IHE) élargit la surface d'attaque. Chaque interface est un vecteur potentiel exigeant qualification des partenaires, inventaire et surveillance active des flux.

24 mai 2026 7 min

Les erreurs fréquentes dans l’échange d’informations médicales

Les erreurs dans l'échange d'informations médicales sont récurrentes : tokens à durée excessive, absence de validation des entrées, comptes partagés et interfaces de maintenance non sécurisées.

24 mai 2026 7 min
WhatsApp