Bonjour à tous,
 
Mon épouse se lance en libéral (psychomotricité). Elle devra gérer et partager ses dossiers patients (avec les parents voire des confrères).
 
Savez vous si Gsuite est bien conforme RGPD et HADS ? J'ai vu HIPAA (version US) mais rien sur la FR ?  
Sinon quelle solution conseilleriez vous pour ce type de profession ? (mail crypté, PJ crypté, stockage crypté) ?
 
Merci à vous !
 

Il faut qu'elle se rapproche de son syndicat http://snup.fr/

C'est eux qui pourront lui donner toutes les infos à ce sujet et ce qu'ils ont validés.

Ma femme a eu les infos par le bais de son syndicat avec les bonnes pratiques à adopter dans ce cadre la; je n'ai plus eu qu'a les mettre en place.

Le minimum c'est quand même disque dur crypté + mdp de session fort.

Pour les mails, la sécu est en train de mettre en place une plateforme mail unifiée pour les échanges entre professionnels de santé

Le RGPD, ce n'est pas seulement une histoire de chiffrement (on évite "cryptage" ). Et, dans l'ensemble, c'est seulement l'obligation de mettre en place ce qui a toujours été des bonnes pratiques.
Donc chiffrer ses supports oui, signer et chiffrer des emails confidentiels, signer mes emails dans tous les cas. Gsuite est bien plus conforme au RGPD que bon nombre de solution maison et la plupart des stockage cloud.
Mais surtout, il faut penser à la suppression des données dans le temps, à la suppression de données qui n'ont aucun raison d'être collectées, etc.

Confier des données médicales à Google via Gsuite qui dépend du droit américain ? C'est pas trop RGPD, ça. Et avec le Cloud Act qui est passé discrètement en avril de cette année aux USA, ça ne me rassure pas du tout les clouds des grosses boîtes américaines. Je recommanderais plutôt OVH si du cloud était nécessaire.
 
Mais c'est clair que pour un pro libéral travaillant dans le médical, être conforme à la RGPD, c'est vraiment galère Perso, je serais très intéressé de savoir ce que son syndical va lui recommander.
 
Y'a le site de la CNIL qui peut aussi fournir quelques pistes. Et l'ANSSI peut être aussi ?

 
ça l'est même pas du tout.
 
Ca va rigoler le jour où google aura une grosse faille et que les clients du liberal vont se retrouver avec des infos ultra perso sur le net.  
 
Si cloud indispensable +1 pour OVH sur un serveur en France, si cloud non indispensable, un bon libreoffice (même pas office 365 sauf si sauvegarde en local uniquement)
 
Quand à la partie mail, qu'elle utilise la boite fournie par son opérateur.

Écrire cela le 13/10/18, soit une semaine après la révélation de la faille Google+ et le fait qu'Alphabet a tenu secret,  pour raisons financières, durant 6 mois le vol de données, c'est cocasse.
Les CNIL européennes n'ont pas l'air d'être sur la même longueur d'onde que toi, l'ANSSI non plus quand elle indique qu'il faut chiffrer tout ce qu'on place chez Google&co.

Si tu fais héberger tes données de santé par un tiers, celui ci doit être hébergeur de données agréé de santé. c'est une obligation légale.
en tant que professionnel de santé, regarde si tu ne peux pas prétendre à une adresse de messagerie sécurisée de type MSSanté (asip). Il te faudra ton RPPS. si tu échanges des données de santé tu es obligé d'utiliser une messagerie sécurisée de santé.

Merci pour les infos. J'avais effectivement vu que la messagerie devait être sécurisée. Je vais regarder mssante plus en détail.

Euh... vous pensez très franchement qu'OVH et consorts sont davantages sécurisés que GSuite ? En quoi Google+, un réseau social est-il comparable à GSuite ?
Pour OVH, combien de fois ont-ils eu des pertes de données importantes, avec backup foireux et recovery fait en douce (au moins une, j'étais dedans ) ?
 
Ce qui me semble évident, c'est de chiffrer les données avant leur stockage. C'est quand même la base ! Ensuite, on préfèrera la France et l'UE mais, comme je le disais, entre bien faire les choses sur Gsuite ou faire à l'arrache, sans chiffrement, avec une boite qui fait du stockage parce que ça rapporte mais qui sous-loue du serveur Online sans bien comprendre l'admin web, y'a pas photo.
 
Sinon, pour ma part, stocker soi-même sur du C14 de online (https://www.online.net/fr/c14) en chiffrant en amont.

 
Déjà répondu au-dessus et déjà parlé de chiffrement en indiquant que c'était la base.

Tu as suivi qu'Alphabet a tenu secret la faille et le vol de données pendant 6 mois ?
C'est pas de la technique ça mais du RGPD non compliant.
 
Ensuite une faille sur un service Google, c'est une faille sur un service Google. Aujourd'hui c'est Google+, demain cela peut être Gsuite.
Donc le coté hyper-sécu infaillible c'est du marketing.
 
Enfin, niveau RGPD, Google est soumis aux lois américaines (dont le très récent Cloud Act) qui contreviennent au RGPD.

Je persiste et réitère : impossible de te faire héberger par n'importe quel hébergeur qui ne serait pas agréé hébergeur de données de santé. C'est la loi.
OVH a une offre mais très chère vis-à-vis de ton besoin.

As-tu le texte de loi ?
Peut-être existe-t-il une faille genre en hébergeant à l'étranger ?
 
simple curiosité

voila:
http://www.lagbd.org/index.php/H%C [...] _2016_(fr)

Maintenant rien ne t'empêche de jouer les bandits en hébergeant ses dossiers chez google en californie, mais en cas de contrôle il faut en assumer les conséquences qui sont très lourdes. C'est comme conduire avec 1g d'alcool rien n'empêche physiquement de le faire, mais en cas de contrôle les conséquences sont lourdes et c'est normal.

La RGPD n'est pas fan du stockage de données perso à l'étranger. Alors des données persos médicales, type de donnée classé "sensible", n'y pense même pas

 
Voici les principales sources à lire :

• Obligation de recourir à un hébergeur agréé ou certifié de données en cas d'externalisation : Article L1111-8 du CSP : https://www.legifrance.gouv.fr/affi [...] 0006072665
• Qu'est ce qu'une donnée de santé ? https://www.cnil.fr/fr/quest-ce-ce- [...] e-de-sante
• RGPD et professionnels de santé libéraux : https://www.cnil.fr/fr/rgpd-et-prof [...] vez-savoir
• Un bon document du Conseil de l'Ordre des Médecins : https://www.conseil-national.medeci [...] l_rgpd.pdf
• Un dossier de la MACSF sur le sujet : https://www.macsf-exerciceprofessio [...] nees-sante

etc...

 
actuellement on passe d'une transition "agrément" à "certification" HDS.
 
pour l'agrément, il n'y a pas de vérification si les solutions correspondent à ce qui a été décrit dans le dossier. L'asip n'a pas le temps ni les ressources pour vérifier.
Le dossier d'agrément est articulé autour d'exigences juridiques et techniques.  
la certification HDS, nécessite que l'hébergeur soit certifié iso27001, qu'il passe avec succès un audit sur des chapitres iso 20000 (pas d'audit s'il est certifié iso20000).  
l'hébergeur est également concerné par un audit s'il a une offre cloud.
 
Concernant le doute sur OVH et les services d'hébergement : l'offre HDS n'a rien à voir avec l'offre d'hébergement "standard" (il n'y a qu'à comparer les tarifs ^^ 1000€/mois la première offre HDS)
Mais derrière, il y a PCA/PRA, chiffrement, flux dédiées chiffrés etc ....
 
Faire héberger ses données personnelles de santé chez un hébergeur non HDS est très risqué. En cas d'incident de sécurité, c'est le début de GROS GROS problèmes. (non conformité réglementaire + défauts sécurité). sans compter les personnes concernées qui peuvent engager des procédures judiciaires par dessus.
 
 
Par contre, rien n’empêche d'héberger soi même ses données de santé, et pas besoin d'être HDS pour le faire.
Mais là, je conseillerai vivement de s'inspirer des exigences de l'ASIP pour sécuriser sa solution.
 
La réglementation HDS n'est pas là que pour aborder l'aspect sécurité technique des données de santé, elle cadre :  
- la façon de formuler les contrats pour protéger les parties signataires (hébergeur/hébergé). les exigences convergent avec la réglementation EU sur les services d'hébergement
- engagements de services
- répartition des responsabilités / obligation (ATTENTION à ce point, ce n'est pas parce que vous faites héberger que vous reportez tout sur l'hébergeur )
- les obligations réglementaires (droits des personnes concernées, informations etc ...)
- la traçabilité des actions sur les données
- continuité de service (PCA/PRA)
- les politiques de sécurité (gestion des accès, gestion des identités et des droits .....)
- les relations fournisseurs/sous-traitants (là aussi ça rentre en convergence avec la réglementation européenne client/fournisseur)
 
bref, il ne faut pas imaginer qu'il suffise de chiffrer les données pour s'en tirer
 
Si les données ne sont pas des données de santé, et bien ça soulage de la certification/agrément. Il faut tout de même respecter les exigences liées à la réglementation RGPD :
DPD (ou DPO ), droits des personnes, registres des traitements, aspects contractuels, communication/information, traçabilité, stockage/archivage ....
 
 

 
Merci c'est intéressant.  
 
"Par contre, rien n’empêche d'héberger soi même ses données de santé, et pas besoin d'être HDS pour le faire."  
Voila donc un moyen de contourner.

En effet, rien ne t'interdit d'héberger toi même tes données mais tu dois répondre aux règles de sécurité édictées par l'ANSSI, PGSSI de l'ASIP ( politique générale de sécurité des systèmes d'information) comme l'a bien détaillé clockover (et si tu n'as pas les compétences nécessaires ça peut vite devenir compliqué)

la problématique n'est pas d'être HDS ou non, mais bien de protéger les données

de toutes manières si vous êtes perdu dans toutes ces réglementations, elles sont toutes en train de converger vers de l'ISO 27001/27002, sauf que ce sont les organismes qui vont décider des exigences à appliquer.
En temps normal, c'est l'entreprise qui choisit quelles exigences et sur quelle partie il les applique.

Donc en gros si tu veux pas passer par un hébergeur il faut que tu respecte quand même :

Autour des données:
- PGIA (Politique de Gestion des Identité et des Accès), exigences renforcées depuis HDS / RGPD
- protection des données (sécurité, sureté, tracabilité etc...)
- protections des flux et échanges (chiffrement, controles, protocoles)
- protection de la manipulation des données (identification des rôles, traçabilité, contrôle flux/scripts/applis)
- stockage/archivage (rétention, protection ..)

Autour des droits :
- droit des personnes concernées (informer, traiter les demandes, restitution ..)

Autour des applis/environnements :
- authentification forte conforme (PGSSI-S si données de santé)
- anonymisation des données (pendant dev, test, etc..)
- sécurisation du développement (revue de code/OWASP etc ..)

Autour de l'éthique/juridique :
- clausier (responsabilités, obligations, exigences, confidentialité, ....)
- encadrement sous-traitance (là c'est même la réglementation européenne)
- encadrement des engagements (SLA, PCA/PRA, oragnisation et moyens mis en oeuvre ....)
- certification/agréments si nécessaires
- communication incidents de sécu .

Toutes ces exigences sont là pour imposer non seulement une démarche de protection technique, mais aussi des droits et engagements contractuels. Ces 2 dernières étant trop souvent "oubliées", c'est ce qu'à apporté RGPD, HDS. D'autres réglementations amènent d'autres sujets de préoccupations spécifiques (LPM, PCI-DSS, ...).

En cas d'incident de sécurité, de vol de tes données, ou de plainte d'une personne sur la non conformité, va falloir bien se justifier ! (même si la responsabilité ne règle pas le problème que les données sont dans la nature )

Je suis l'évolution car j'héberge des données de santé (mais pas en France).
merci

https://www.conseil-national.medeci [...] ins_57.pdf
 
Je fouillai pour un tout autre sujet et je suis tombée la dessus (à partir de la page 26)

Google héberge aussi en Europe non ? D'ailleurs Gmail & Co sont certifié ISO 27001 ou bien ?

Google peut héberger en Europe ou aux USA.
Voir le CLUF de Gsuite https://gsuite.google.com/intl/fr/t [...] terms.html :

Également les conditions d'utilisation des services Google https://policies.google.com/terms?g [...] oc-content :

Et je n'ai jamais vu que les services de Google étaient certifiés par une ISO.

Alors je sais pas faudrait voir dans le détail concernant Google et les certifications
https://support.google.com/analytic [...] 7084?hl=fr

Merci pour les infos

Pour info : https://www.lemondeinformatique.fr/ [...] 73347.html
 
Donc office 365 et ses prix attractifs sont dispos pour la santé depuis hier.

l'option hds, ca va douiller