DSK : Pri­se de posi­ti­on sur les appli­ca­ti­ons numé­ri­ques de san­té basées sur le cloud computing

La con­fé­rence alle­man­de sur la pro­tec­tion des don­nées “Docu­ment de syn­thè­se sur les appli­ca­ti­ons numé­ri­ques de san­té basées sur le cloud” s’est expri­mé avec sa sévé­ri­té habi­tu­el­le, ent­re aut­res sur la Responsa­bi­li­té des fab­ri­cants de pro­duits de san­té numé­ri­ques:

Le RGPD impo­se des obli­ga­ti­ons aux respons­ables du trai­te­ment et aux sous-trai­tants, artic­le 4, points 7 et 8, du RGPD. Les fab­ri­cants assu­ment le rôle de responsable s’ils déci­dent non seu­le­ment de la fab­ri­ca­ti­on de l’ap­pli­ca­ti­on numé­ri­que de san­té, mais aus­si des fina­li­tés et des moy­ens du trai­te­ment des don­nées. Par déro­ga­ti­on, ils peu­vent être con­sidé­rés com­me des sous-trai­tants s’ils trai­tent des don­nées à carac­tère per­son­nel pour le comp­te d’un responsable dans le respect des artic­les 28 et 29 du RGPD. En revan­che, si la par­ti­ci­pa­ti­on se limi­te à la pro­duc­tion de l’ap­pli­ca­ti­on de san­té, de sor­te que les fab­ri­cants ne trai­tent pas les don­nées à carac­tère per­son­nel des uti­li­sa­teurs, les fab­ri­cants ne sont ni respons­ables du trai­te­ment ni sous-traitants.

Out­re les fab­ri­cants, d’aut­res acteurs ent­rent en ligne de comp­te pour le trai­te­ment des don­nées à carac­tère per­son­nel des appli­ca­ti­ons numé­ri­ques de san­té, com­me les méde­cins et aut­res pre­sta­tai­res de soins médi­caux ain­si que les four­nis­seurs de ser­vices en nuage. Il con­vi­ent d’ex­ami­ner au cas par cas le rôle de ces acteurs du point de vue de la pro­tec­tion des données.

Il découle en out­re du prin­ci­pe de pri­va­cy by design – en fait plutôt du prin­ci­pe de pro­por­ti­on­na­li­té – qu’u­ne Ne pas se con­nec­ter au cloud si elle n’est pas néces­saire et souhaitée :

L’uti­li­sa­ti­on de l’ap­pli­ca­ti­on de san­té (par exemp­le, une appli­ca­ti­on pour lire et enre­gi­strer les valeurs de glu­co­se) doit être pos­si­ble sans uti­li­ser les fonc­tions de l’in­for­ma­tique en nuage et sans être liée à un comp­te d’uti­li­sa­teur, con­for­mé­ment au prin­ci­pe de “pro­tec­tion des don­nées par la con­cep­ti­on tech­ni­que et par des paramè­tres par défaut respec­tueux de la vie pri­vée” énon­cé à l’ar­tic­le 25, para­gra­phe 1, du RGPD, à moins que la fonc­tion de l’in­for­ma­tique en nuage ne soit abso­lu­ment néces­saire à la Obten­ti­on d’un béné­fice thé­ra­peu­tique néces­saire et la fonc­tion est expres­sé­ment deman­dée par la per­son­ne con­cer­née.

La per­son­ne con­cer­née doit dis­po­ser d’u­ne pos­si­bi­li­té de choix cor­re­spond­an­te (par exemp­le dans le pro­ce­s­sus d’en­re­gi­stre­ment) et être infor­mée des éven­tuels avan­ta­ges et ris­ques exi­stants liés à l’ap­pli­ca­ti­on en nuage. En cas de décis­i­on de ne pas recour­ir à un trai­te­ment basé sur l’in­for­ma­tique en nuage, les don­nées peu­vent tout au plus être stockées loca­le­ment sur l’é­qui­pe­ment terminal.

Lors de la Uti­li­sa­ti­on des don­nées rela­ti­ves à la san­té se pose ensuite la que­sti­on de la base juri­di­que – dans ce cas, le con­sen­te­ment ent­rerait en ligne de comp­te, dans la mesu­re où les don­nées ne sont pas anony­mi­sées et où les fab­ri­cants ne sont pas léga­le­ment tenus de trai­ter les don­nées, par exemp­le en ver­tu du règle­ment sur les dis­po­si­tifs médi­caux pour l’assu­rance qua­li­té et la gesti­on des risques.

Les trai­te­ments tels que Ana­ly­se de la por­tée et sui­vi des err­eurs logi­ciel­les:

Les méca­nis­mes d’ana­ly­se de la por­tée et de sui­vi des err­eurs logi­ciel­les fré­quem­ment mis en œuvre, géné­ra­le­ment inté­g­rés dans les envi­ron­ne­ments de déve­lo­p­pe­ment de logi­ciels et liv­rés avec les appli­ca­ti­ons et les appli­ca­ti­ons web, véri­fi­ent le com­porte­ment d’in­stal­la­ti­on et les aspects géné­raux de la fonc­tion­na­li­té du logi­ciel (télé­mé­trie). Ce trai­te­ment de don­nées n’est en prin­ci­pe pas com­pa­ti­ble avec la fina­li­té de l’application.

Dans le cad­re de la Sécu­ri­té des don­nées la CCPD men­ti­on­ne quel­ques mesu­res de sécu­ri­té à prend­re en con­sidé­ra­ti­on. Par ailleurs :

La direc­ti­ve tech­ni­que (TR) déve­lo­p­pée par l’Of­fice fédé­ral de la sécu­ri­té des tech­no­lo­gies de l’in­for­ma­ti­on (BSI) “Exi­gen­ces de sécu­ri­té des appli­ca­ti­ons numé­ri­ques de san­té” (BSI TR-03161) pour tou­tes les appli­ca­ti­ons mobi­les qui trai­tent et stock­ent des don­nées sen­si­bles. En prin­ci­pe, le BSI deman­de que les exi­gen­ces de sécu­ri­té en matiè­re de con­fi­den­tia­li­té, d’in­té­gri­té et de dis­po­ni­bi­li­té soi­ent pri­ses en comp­te dès le début du déve­lo­p­pe­ment du logi­ciel. Cet­te direc­ti­ve tech­ni­que doit ser­vir de gui­de pour aider les déve­lo­p­peurs d’ap­pli­ca­ti­ons à cré­er des solu­ti­ons sûres. Elle est divi­sée en trois parties :

  • BSI TR-03161 Exi­gen­ces rela­ti­ves aux appli­ca­ti­ons dans le domaine de la san­té – Par­tie 1 : Appli­ca­ti­ons mobiles
  • BSI TR-03161 Exi­gen­ces rela­ti­ves aux appli­ca­ti­ons dans le domaine de la san­té – Par­tie 2 : Appli­ca­ti­ons web
  • BSI TR-03161 Exi­gen­ces rela­ti­ves aux appli­ca­ti­ons dans le domaine de la san­té – Par­tie 3 : Systè­mes d’arrière-plan