Points clés
- Les données de santé appartiennent à la catégorie des données sensibles soumises au régime le plus strict du RGPD — leur compromission engage des responsabilités particulières.
- La circulation de ces données entre établissements, professionnels et systèmes d'information multiplie les points d'exposition tout en étant indispensable à la qualité des soins.
- Les exigences de sécurité applicables couvrent le transport (chiffrement TLS 1.3+), le stockage (chiffrement au repos), les accès (authentification forte) et la traçabilité (journaux d'audit).
- Le respect du cadre HDS (Hébergeur de Données de Santé) est obligatoire en France pour tout tiers hébergeant des données de santé à caractère personnel.
La spécificité réglementaire des données de santé
Les données de santé bénéficient d'une protection renforcée par l'article 9 du RGPD, qui en interdit le traitement sauf exceptions limitatives. En France, la loi Informatique et Libertés et le référentiel de sécurité HDS précisent les exigences applicables aux systèmes qui hébergent ou échangent ces données. Tout acteur qui traite des données de santé à caractère personnel doit mettre en œuvre des mesures techniques et organisationnelles adaptées à leur sensibilité — mesures bien au-delà des pratiques standard applicables aux données non sensibles.
Les exigences de chiffrement des données en transit
Les données de santé échangées entre systèmes doivent être chiffrées en transit avec des protocoles à jour (TLS 1.2 minimum, TLS 1.3 recommandé). Les échanges par protocoles non sécurisés (HTTP, FTP non chiffré, SMTP sans TLS) sont incompatibles avec le niveau de sécurité attendu. Cette exigence s'applique aux échanges entre SI hospitaliers via les réseaux d'échange sécurisés (MSSanté en France), aux API exposées par les éditeurs de logiciels médicaux, et aux transmissions vers les plateformes d'hébergement certifiées HDS.
Les exigences de chiffrement des données au repos
Le stockage des données de santé doit être chiffré au repos. Cette exigence s'applique aux bases de données, aux sauvegardes, aux systèmes de fichiers, et aux supports amovibles susceptibles de contenir des données de santé. L'algorithme de chiffrement doit être conforme aux recommandations de l'ANSSI (AES-256 pour le chiffrement symétrique). La gestion des clés de chiffrement doit faire l'objet d'une politique dédiée — une clé compromise rend le chiffrement inefficace.
Les exigences d'authentification et de contrôle d'accès
L'accès aux données de santé doit être contrôlé par une authentification forte (au moins deux facteurs) pour les accès aux systèmes les plus sensibles. Le principe du moindre privilège doit être appliqué : chaque professionnel ou système n'accède qu'aux données nécessaires à sa mission. Les droits d'accès doivent faire l'objet d'une revue régulière — des comptes non utilisés, des accès étendus non justifiés, ou des comptes de prestataires actifs après la fin d'une mission constituent des vulnérabilités documentées.
Les exigences de traçabilité et d'audit
Tout accès aux données de santé doit être journalisé dans des journaux d'audit non répudiables et conservés dans des délais conformes aux obligations légales (généralement 3 ans minimum). Ces journaux doivent permettre de répondre à la question : qui a accédé à quelle donnée, quand, depuis quel système, et quelle action a-t-il effectuée ? Leur intégrité doit être préservée — un attaquant qui peut modifier les journaux peut effacer ses traces. La supervision de ces journaux doit être active, pas uniquement rétrospective.