Depuis quelques années, les hôpitaux français connaissent de profondes transformations organisationnelles en vue de faciliter la continuité des soins et d’améliorer les échanges entre les professionnels de « ville » et l’hôpital. La « transformation numérique » est un levier essentiel de cette évolution du système de santé. Mais les cyberattaques et les vols de données sont autant d’événements qui pénalisent les hôpitaux dans la réalisation de leurs missions. Ainsi, la sécurisation des services numériques évolue vers une gouvernance attentive aux risques qui les empêcherait d’atteindre leurs objectifs, d’une part, et à la conformité aux règles et réglementations, d’autre part. Cette stratégie d’anticipation reconnaît également l’humain comme maillon essentiel de la chaîne de sécurisation. La conformité aux règles et aux réglementations relève de certifications telles que celles requises pour mener des activités d’hébergement de données de santé. Elle peut aussi simplement suivre des obligations réglementaires de cybersécurité comme en ce qui concerne les opérateurs de services essentiels. Cet article s’attache à inventorier et détailler la logique portée par les différentes approches de certification des établissements de santé et les obligations réglementaires de cybersécurité.
The past few years have seen major organisational changes implemented in French hospitals in order to improve continuity of care as well as the exchanges between hospitals and their community. The “digital shift” is the cornerstone of this evolution of healthcare systems. However, cyberattacks and the theft of data represent as many events that penalise hospitals in the accomplishment of their mission. The security of digital services is improving and aims for a careful management of risks to prevent cyber criminals from achieving their objectives and help facilities conform to current rules and regulations. This anticipation strategy also identifies human beings as the crucial link in the improved security chain. Certification, such as that required to host healthcare data, involves conforming to rules and regulations. It may also just conform with regulatory cybersecurity obligations, as is the case for providers of essential services. This article lists and details the rationale behind the various certification approaches used for healthcare facilities and the regulatory cybersecurity obligations.
Bérard B. Certification et mise en œuvre des obligations de sécurité : l’expérience des Hospices civils de Lyon. Risques & Qualité 2021;(18)4;222-229. Doi : 10.25329/rq_xviii_4_berard