Vous recherchez la solution logicielle Tarif 590 idéale pour votre cabinet? Et vous vous souciez des implications en termes de sécurité pour les données de vos patients? Dans le post suivant, se basant sur un interview avec l’experte en sécurité Maria Winkler, vous trouverez des résponses. 

À quoi faut-il faire attention? Les questions suivantes sont essentielles:

  • Quelles sont les garanties contractuelles du fournisseur?
  • Quelle est la qualité de cryptage des données?
  • Où les données sont-elles hébergées?

Qu’est-ce qu’une solution locale?

Avec une solution locale, vous installez le logiciel sur votre ordinateur (à l’instar de Word ou Outlook). Vous disposez donc directement de toutes les données chez vous. Dans ce cas, vous êtes également directement responsable de la sauvegarde des données, de la protection antivirus, des mises à jour des logiciels, ainsi que de l’archivage des factures et des données relatives aux soins du patient. Ceci exige d’ores et déjà quelques connaissances en informatique: il n’est pas suffisant de sauvegarder chaque mois vos données sur une clé USB en guise de backup. D’autant plus qu’un mauvais backup est à peine préférable à aucun backup du tout. La question de la qualité de la protection de l’accès à votre appareil se pose également: avec quelle facilité votre ordinateur pourrait-il se retrouver dans des mains étrangères? Voilà une question à laquelle on ne réfléchit souvent pas du tout.

En bref, si vous ne maîtrisez pas suffisamment le domaine informatique, vous devriez faire appel à un professionnel pour vous conseiller et surveiller votre système en permanence, afin de garantir un stockage sécurisé des données d’une solution locale et conforme à la législation.

Qu’est-ce qu’une solution cloud?

Les experts sont unanimes: tôt ou tard, les solutions cloud s’imposeront. Comme pour les services bancaires en ligne, avec une solution cloud, le logiciel n’est pas installé sur votre ordinateur, mais déployé via Internet par le biais d’une connexion cryptée. Vous ouvrez le site Internet du fournisseur, vous vous connectez avec votre mot de passe et disposez d’un domaine protégé. Le fournisseur est responsable envers vous de la garantie de l’archivage des données, des copies de sauvegarde et des mesures de protection des données. Vous n’avez pas non plus à vous soucier de l’installation des mises à jour et de la protection antivirus. Tout ceci présuppose bien entendu un accord contractuel avec ce fournisseur.

À quoi faut-il faire attention avec une solution cloud?

Les données des patients font partie des données sensibles en vertu de la loi fédérale sur la protection des données. La garantie de la confidentialité des données des patients fait donc également partie des préoccupations légitimes de nombreux thérapeutes. Il est important de savoir que, même si le fournisseur est contractuellement responsable de la sécurité des données dans le cadre d’une solution cloud, c’est vous qui assumez au final la responsabilité des données vis-à-vis de vos patients. Passez donc au crible les dispositions contractuelles de votre fournisseur concernant l’archivage, la sauvegarde des données et la protection antivirus.

D’un point de vue technique, quels sont les points fondamentaux?

Cryptage de la connexion avec le fournisseur

La connexion entre votre ordinateur et le fournisseur doit être protégée. Imaginons un câble à travers lequel circulent les données: plus le câble est solide, plus vos données sont protégées. La connexion de données est garantie par un cryptage. Plus simplement, le cryptage est suffisant si vous voyez apparaître un cadenas vert dans la ligne d’adresse de votre navigateur. Sur le plan technique, nous recommandons une connexion HTTPS basée sur un cryptage 265 bits et un protocole de sécurisation des échanges (TLS) de niveau 1.2 ou 1.3. Si ce jargon technique vous laisse perplexe, demandez simplement à votre fournisseur si son cryptage répond à ces exigences.

Protection de l’accès

Le mot de passe joue également un rôle important. Dans le langage technique, on parle ici d’«authentification». Imaginons que votre nom d’utilisateur est «max@bluewin.ch» et que votre mot de passe s’intitule également «Max». Comme vous pouvez vous en douter, ce mot de passe est facile à pirater. En général, un mot de passe devrait comporter au moins 8 caractères, être si possible difficile à lire et contenir des caractères spéciaux, des majuscules et des minuscules ainsi que des chiffres.
Ce n’est pas aussi compliqué qu’il n’y paraît. Exemple: pour commencer, réfléchissez à une combinaison de lettres facile à mémoriser pour vous, mais difficile à lire. Il peut s’agir des premières lettres des prénoms des membres de votre famille mises bout à bout, p. ex. «embab». Ajoutez-y un caractère spécial, p. ex. un tiret. Associez-y ensuite deux chiffres (p. ex. l’année de naissance de votre deuxième enfant «06») et une majuscule (p. ex. un «C» pour médecine «complémentaire»). Le mot de passe final est alors «embab-06C». Voilà qui est bien plus sûr que l’ancien mot de passe «Max».
Idéalement, votre fournisseur vous propose une authentification à trois facteurs encore plus sécurisée. Dans ce cas, en plus du mot de passe ci-dessus, un niveau de sécurité supplémentaire vient s’ajouter lors de la connexion et vous recevez en plus un code par SMS, comme pour les opérations bancaires en ligne. Bien entendu, ce niveau supplémentaire de sécurité est un peu fastidieux, mais vous apporte un plus en termes de sécurité.

Hébergement de données

Comme les données des patients sont des données particulièrement sensibles selon la loi sur la protection des données, la législation sur la protection des données recommande généralement d’héberger dans la mesure du possible les données en Suisse. L’externalisation d’informations dans un cloud possédant des centres de calcul à l’étranger présuppose une protection des données appropriée dans tous les pays où sont implantés ces centres de calcul.
Si les centres de calcul du destinataire sont implantés dans un État ayant une législation assurant un niveau de protection adéquat, conformément à la liste des États du PFPDT (disponible à l’adresse https://www.edoeb.admin.ch/datenschutz/00626/00753/index.html?lang=fr), aucune mesure supplémentaire n’est nécessaire.

Archivage, backup et protection antivirus

Votre fournisseur doit vous garantir contractuellement un archivage des données de vos patients pour une durée de 10 ans à compter des derniers soins délivrés. Ceci est requis pour des raisons légales dans la plupart des cantons. De plus, le fournisseur doit disposer de centres de données redondants: c’est-à-dire que vos données sont toujours sauvegardées en parallèle dans deux lieux éloignés géographiquement. De cette manière, en cas d’incendie de l’un des centres de données, vos données ne sont pas perdues. Le fournisseur doit par ailleurs assurer une sauvegarde continue ainsi qu’une protection antivirus constamment mise à jour.

En conclusion, les données de vos patients sont en principe «entre de bonnes mains» dans une solution cloud. L’essentiel est de veiller tout particulièrement au cryptage, à l’hébergement des données, à l’archivage, au backup et à la protection antivirus lors du choix de la solution logicielle Tarif 950, et d’adopter un comportement sûr, notamment en ce qui concerne les mots de passe. Au bout du compte, une solution locale exige encore plus de responsabilité individuelle et de compétences techniques.

Avez-vous d’autres questions concernant la sécurité des données sur des solutions locales ou cloud? Nous nous faisons un plaisir d’y répondre, soit directement sur le blog, soit sur notre page Facebook.

Ce post se base sur un interview avec la l’experte en sécurité de données Maria Winkler.

Maria Winkler est juriste et directrice de la société Firma IT & Law Consulting à Zoug. Elle est spécialisée dans les domaines du droit de l’informatique, de la numérisation et de la sécurité des données. Parallèlement, elle travaille comme enseignante en droit de l’informatique et en droit de l’Internet auprès de diverses hautes écoles spécialisées, est chargée de la protection des données au sein de l’association swissdec et experte en certifications en matière de protection des données en Suisse et en Autriche auprès de la SQS.

Maria Winkler conseille HealthAdvisor sur des questions juridiques.

Website: www.itandlaw.ch