L’IOT dans la santé à l’ère du RGPD

l'IOT à l'ère du RGPD
Publié le 29-01-2020

L’IoT dans la santé à l’ère du RGPD

Le XXIème siècle marque sans conteste la consécration du numérique et de la donnée. Grâce au numérique, aux objets connectés (également appelés IoT) et l’interconnexion des systèmes, les usages et métiers sont largement facilités : on a accès plus facilement, plus rapidement à l’information. Cette information qu’on appelle « donnée » peut être stratégique, financière, aussi bien qualitative que quantitative, et parfois personnelle, l’un n’étant pas incompatible avec l’autre. Les données personnelles sont de natures variées, et parmi elles, existe la donnée de santé : celle qui donne des informations sur la santé passée, présente et à venir d’un Individu.

Dans le secteur de la santé, l’expansion du numérique et des objets connectés a considérablement contribué à faciliter l’accès aux soins, à l’amélioration de ces derniers par plus de précision, et à faire avancer la recherche. Prenons comme exemple d’IoT, un tapis de sol connecté que nous suivrons plus bas et qui permettrait de détecter les chutes dans une chambre d’ehpad : les capteurs de mouvements installés au sol envoient en temps réel toutes les informations vers une application qui les enregistre et génère des modèles de comportement. Analyse artificielle aidant, si le système détecte des événements suspects ou non habituels, une alerte est envoyée permettant aux soignants d’agir rapidement. Les bienfaits de cette facilitation du traitement de la donnée sont indéniables et répondent à nombre d’enjeux rencontrés dans le domaine du soin actuellement.

Mais que se passerait-il si le dossier ou une partie du dossier de ce résident était supprimé, ou publié sur internet ?

Dans un cas comme dans l’autre, les conséquences physiques et morales sur la vie de la personne seraient considérables.

Et qui serait responsable ?

Serait-ce le résident? Le soignant? Le directeur d’établissement ? L’éditeur et le constructeur du dispositif médical ? L’hébergeur ? L’opérateur ?

Étudions le circuit de la donnée de santé recueillie par notre IoT, le tapis de sol connecté.

  1. La donnée de comportement appartient au résident (1er acteur).
  2. Elle est générée par le tapis et l’application connectée qui y est liée (2ème(s) acteurs : l’éditeur et/ou le concepteur).
  3. Elle transite vers d’autres supports qui peuvent être le dossier médical par exemple, un logiciel de télésuivi, ou tout autre outil avec lequel il est utile de la partager (3ème(s) acteurs).
  4. Pour effectuer ce transit, elle passe par un lien internet, et souvent par un système wifi (4ème(s) acteurs : l’opérateur internet, le constructeur de la box, l’éditeur du portail wifi…).
  5. Enfin, elle est stockée quelque part dans un datacenter en local ou chez un hébergeur (5ème(s) acteurs).
  6. Pour finir, elle est consultée par un soignant pour donner lieu à un contrôle (6ème acteur).

Nous aurions pu entrer plus précisément dans le circuit mais ceci permet d’illustrer un état de fait : la donnée transite, et comme tout voyage, le sien doit être sécurisé car sur chaque tronçon de route où peuvent surgir des embuches.

Bien qu’on constate aisément la multitude d’avantages à cette utilisation des données personnelles, les impacts sur la vie privée de la personne en cas de modification ou de rupture de la confidentialité de la donnée peuvent être importantes. C’est pourquoi certaines autorités de régulation étatiques et supra-étatiques renforcent régulièrement le cadre réglementaire de la donnée personnelle de santé (RGPD, HDS, DM en sont des exemples).

Considérons que chaque acteur précité traite d’une façon ou d’une autre la donnée au sens du RGPD. Par là-même, chaque acteur est co-responsable ou sous-traitant de l’établissement par sa contribution au traitement.

Qu’est-ce que cela implique pour le directeur d’établissement et quelles sont ses obligations ?

Le directeur d’établissement se doit de répondre aux obligations et exigences du RGPD pour sa structure. Dans ce sens, il doit savoir quelles données sont traitées, pourquoi elles sont traitées, par qui, et comment elles sont sécurisées. Mais souvent, ses systèmes sont connectés à des acteurs extérieurs. Si des sous-traitants ou des co-responsables de traitement apparaissent (voir acteurs ci-dessus, c’est le cas s’il fait appel à des logiciels externes ou qu’il fait héberger ses données à l’extérieur notamment), ce qui est généralement le cas, le responsable devra s’assurer de leur conformité et eux devront lui en apporter les preuves.

Reprenons l’exemple de notre IoT, le tapis connecté, le directeur devra s’assurer que le constructeur ou l’éditeur de la solution est en conformité et en capacité de le lui prouver (par son registre des traitements notamment). Il devra également s’assurer que la solution wifi mise en place et qui permet à la donnée de circuler est suffisamment sécurisée, c’est pourquoi il fera la même démarche auprès de son prestataire.

Check-list conformité-sécurité des sous-traitants

  • Cartographier vos données et vos traitements si ce n’est pas déjà fait
  • Identifier vos sous-traitants et vérifier leurs garanties dans une optique de vous entourer de prestataires de confiance
  • Étudier les garanties de chaque nouveau sous-traitant et de ses sous-traitants (type hébergeur s’il s’agit d’un éditeur de solution en mode SaaS)
  • Évaluer la conformité de vos sous-traitants

Une fois ces 4 points derniers points bien ficelés, vous pouvez être serein quant à la conformité de votre projet utilisant des solutions connectées.

Le choix de vos prestataires et sous-traitants est finalement le point le plus important de votre projet connecté. En effet, dans le cadre des périmètres qui échappent à votre contrôle direct, ce sont eux qui vont garantir que les données sont traitées en toute sécurité. Mais il relève de votre responsabilité d’exiger ces garanties.

Un article écrit par Hub4Health en collaboration avec Wixalia

Hub4health est un partenaire de choix pour vous accompagner dans votre conformité au RGPD : notre cabinet vous apporte un conseil opérationnel et des solutions concrètes pour préserver votre caractère éthique.

Wixalia est un partenaire de choix pour vos projets IoT et se services connectés. Nous vous apportons les garanties que vous exigez de vos sous-traitants et vous accompagnons dans une utilisation conforme à la réglementation.