Sécurité des données en gériatrie : bonnes pratiques pour les dossiers partagés

Comprendre les enjeux spécifiques de la sécurité des données en gériatrie

La gestion des données de santé, en particulier dans le secteur gériatrique, est soumise à de fortes exigences de sécurité, pour des raisons éthiques, légales et pratico-pratiques. Les dossiers partagés – outils essentiels pour la coordination des soins des personnes âgées – multiplient les points d’accès et donc les risques de faille. La Haute Autorité de Santé estime que 70% des échanges de données en santé comportent des informations sensibles.1 Protéger ces données, c'est garantir la continuité des soins mais aussi préserver la dignité des patients et la confiance des familles.

En région Champagne-Ardenne, comme ailleurs, la diversité des intervenants (hôpitaux, EHPAD, associations, libéraux, plateformes territoriales d’appui) accentue la complexité de la gestion de ces flux de données. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), les cyberattaques ciblant les établissements de santé ont augmenté de 50% entre 2022 et 2023.2

Quels risques ? Panorama des vulnérabilités dans les dossiers partagés gériatriques

• Accès non autorisé : L’échange d’informations entre plusieurs structures multiplie la possibilité de connexions indésirables ou frauduleuses, notamment en cas de mauvais paramétrage des droits d’accès.
• Perte ou fuite de données : Mauvaise gestion des sauvegardes, transmission d’informations par des canaux non sécurisés (email non chiffré, clés USB), ou vols d’appareils personnels peuvent exposer des données confidentielles.
• Modifications non tracées : L’absence de journalisation ou de traçabilité peut masquer des accessions non justifiées ou altérations accidentelles/malveillantes du dossier patient.
• Phishing et ingénierie sociale : Les acteurs du secteur gériatrique, parfois moins formés au numérique, sont une cible privilégiée des attaques par hameçonnage (emails frauduleux se faisant passer pour des collègues ou directions).

Un exemple frappant : en 2021, l’hôpital de Dax a vu son système d’information paralysé par une cyberattaque, obligeant à revenir au papier pour des milliers de dossiers.3 De telles attaques montrent combien l’anticipation et la vigilance restent essentielles.

Cadrage légal : RGPD, hébergeur de données de santé (HDS), et doctrine du numérique en santé

La protection des dossiers partagés en gériatrie relève d’un triple cadre :

• Le RGPD (Règlement Général sur la Protection des Données) impose l’information des patients, la limitation des accès, et la traçabilité de toute consultation des données.
• L’obligation de recourir à un HDS (Hébergeur de Données de Santé certifié), depuis 2018, pour tout hébergement ou traitement externalisé des dossiers numériques.
• La doctrine du numérique en santé portée par l’ASIP Santé et l’Agence du Numérique en Santé fixe les standards d’interopérabilité et d’authentification forte à respecter pour sécuriser les échanges.

Outre les amendes possibles (jusqu’à 4% du chiffre d’affaires mondial d’un organisme en cas de manquement RGPD4), le respect de ces normes est aussi une exigence de qualité, validée lors des démarches de certification (HAS, démarche qualité).

Bonnes pratiques pour sécuriser les dossiers partagés gériatriques

Définir et gérer les droits d’accès avec rigueur

• Limiter chaque utilisateur aux seules données nécessaires à sa mission (principe du « moindre privilège »).
• Mettre à jour les accès dès le départ ou le changement de fonction du personnel.
• Utiliser une double authentification (mot de passe fort + code temporaire ou badge nominatif).

Sensibiliser et former l’ensemble des acteurs

• Organiser régulièrement des ateliers pratiques de sensibilisation à la cybersécurité : reconnaître un mail frauduleux, comprendre l’importance des mots de passe, apprendre les réflexes en cas de suspicion d’intrusion.
• Mettre à disposition des fiches réflexes, adapter le plan de formation pour inclure ce sujet (par exemple : dans la formation annuelle obligatoire pour les équipes médico-sociales).

Choisir des solutions techniques éprouvées et certifiées

• S’assurer que l’éditeur du logiciel est certifié HDS et respecte la doctrine du numérique en santé.
• Privilégier les systèmes avec chiffrement intégral des données en stockage et en transit (ex : chiffrement AES-256), auditables sur la traçabilité des accès.
• Exiger que l’hébergeur propose des sauvegardes redondantes et géographiquement distribuées.

Garantir la traçabilité et l’auditabilité

• Chaque accès, modification ou extraction de dossier doit être tracé : qui, quand, pourquoi, quelle action.
• Prévoir des audits réguliers internes et externes (notamment lors d’un changement d’outil ou de prestataire technique).

Sécuriser les échanges entre établissements

• Privilégier les messageries sécurisées (Apicrypt, MSSanté, etc.) pour l’envoi de documents entre structures.
• Bannir les supports amovibles non chiffrés et désactiver, si possible, les ports USB sur les postes accédant à des dossiers de santé.
• Exiger que les plateformes de partage disposent d’un portail d’authentification unique et tracé.

Accompagner humainement la transition sécuritaire : retours du terrain

L’expérience montre qu’un dispositif trop centré sur la technique, sans l’implication des équipes de terrain, ne fonctionne pas. Dans les EHPAD rémois, par exemple, c’est l’implication d’équipes pluridisciplinaires lors du déploiement de nouveaux systèmes d’information qui a permis d’éviter les pertes de documents et d’obtenir une adoption rapide et sécurisée.

• Impliquer précocement les utilisateurs « référents » (soignants, animateurs, responsables administratifs) pour paramétrer les droits d’accès et tester la convivialité du dispositif.
• Prévoir un « ambassadeur sécurité » par établissement, relais direct avec les équipes d’informatique ou de coordination territoriale.
• Documenter – en langage accessible – les procédures à appliquer en cas de suspicion de fuite ou d’incident technique : qui alerter ? que faire en cas de perte de matériel ?

Un établissement de la Marne a aussi mis en place des réunions trimestrielles pour évoquer tout incident ou « presque-incident », favorisant l’apprentissage collectif sans jugement. Ce partage d’expérience est un facteur clé pour pérenniser la vigilance.

Vers une sécurisation harmonisée sur tout le territoire : initiatives locales et ressources utiles

En Champagne-Ardenne, plusieurs initiatives montrent que travailler en réseau améliore aussi la sécurité :

• Le Réseau régional SI Santé Grand Est propose un kit d’autoévaluation de la cybersécurité à destination des structures médico-sociales, disponible sur son site.5
• Les CPTS (Communautés Professionnelles Territoriales de Santé) animent des ateliers de gestion des risques numériques pour leur réseau, permettant de partager des retours d’incident de façon anonymisée et constructive.
• Le GCS e-santé Champagne-Ardenne accompagne les établissements dans leurs démarches de mise en conformité HDS et RGPD, avec des fiches outils et des journées d’information sur la cyber-sécurité adaptées à la réalité locale.

Ressources et outils recommandés

• Guide HAS : « Sécurité des systèmes d’information en santé », version accessible sur HAS Santé
• Kit cybersécurité ANSSI : ressources gratuites sur ssi.gouv.fr
• Test d’autodiagnostic cybersécurité : cyberveille-sante.gouv.fr
• Soutien juridique : Cellule RGPD de l’ARS Grand Est

Pour aller plus loin : concilier coopération territoriale et exigence de sécurité

La sécurité des données dans les dossiers partagés gériatriques ne doit jamais être un frein à la fluidité de l’information. Au contraire, la coopération territoriale et l’interconnaissance entre acteurs permettent de lever les obstacles techniques et humains à une sécurisation harmonieuse et partagée.

L’accompagnement chaussé sur la formation, la fédération autour de référents sécurité et l’appui sur des ressources régionales sont les clés pour concilier respect des usagers et efficacité des parcours santé. Les enjeux continueront à évoluer, mais l’expérience du terrain, la mutualisation des bonnes pratiques et le dynamisme du réseau sont les plus puissants vecteurs de résilience pour le secteur gériatrique.

1 HAS, "Sécurité des systèmes d'information de santé", 2023

2 ANSSI, Rapport d'activité 2023

3 Le Monde, "L’hôpital de Dax paralysé par une cyberattaque", 2021

4 CNIL, Dossier RGPD, 2023

5 Portail SI Santé Grand Est