Exigences minimales pour la sécurité informatique des cabinets médicaux

La transformation numérique et les interconnexions accrues dans le domaine de la santé ouvrent de nouvelles perspectives et contribuent à l’amélioration des processus de traitement et au développement de la qualité en médecine.

Au-delà de ces avantages, elles comportent également des risques dans le domaine de la sécurité et de la protection des données: les cyberattaques contre les données de santé et les infrastructures informatiques (TIC) peuvent porter atteinte à la vie privée des patients, restreindre considérablement les activités quotidiennes d’un cabinet médical, causer un préjudice financier et nuire à la réputation ou influencer le traitement des patients.

Chaque cabinet médical est chargé de garantir la protection et la sécurité des données qu’il traite. Dans la loi sur la protection des données, le législateur qualifie les données médicales de données personnelles sensibles ce qui exige la mise sur pied d’un nombre important de mesures pour une protection adéquate de ces données. La mise en place, l’entretien et la maintenance d’une infrastructure informatique sécurisée mais aussi l’élaboration de normes de sécurité et la sensibilisation du personnel à une culture de la sécurité sont des tâches importantes qui exigent des ressources humaines et financières.

La FMH a élaboré les exigences minimales pour la sécurité informatique des cabinets médicaux dans le but de soutenir les propriétaires de cabinet et parce qu’aucune recommandation n’existe pour l’instant au niveau fédéral. Ces exigences sont de facto des recommandations assurant un niveau minimum de sécurité pour les données, les informations et les infrastructures informatiques (TIC).

Les exigences minimales sont disponibles en trois formats différents: une représentation graphique (D1), un programme en 11 points (D2) et un document détaillé avec les recommanda-tions et les mesures préconisées (D3). Chaque document s’adresse à des groupes cibles dif-férents. Les documents D1 et D2 sont destinés aux médecins, aux propriétaires de cabinets et à leur personnel. Ils offrent une vue d’ensemble des principales recommandations et mesures pour la sécurité informatique des cabinets médicaux. Le document D3 approfondit les recommandations et les mesures et, de ce fait, il est plutôt destiné aux prestataires infor-matiques (externes mandatés ou responsables internes).