Cloud et protection des données : Comment la loi numérique allemande affecte les entreprises suisse

Les technologies numériques et l'intelligence artificielle transforment le secteur de la santé, par exemple avec les dossiers médicaux électroniques et les consultations vidéo. Au cœur de la numérisation se trouvent les données médicales qui, grâce aux technologies modernes, sont échangées entre les médecins et les patients, mais aussi entre les différents prestataires de services, le plus souvent via des services en nuage. Cela permet de nouvelles approches diagnostiques et thérapeutiques, améliore la communication dans le secteur de la santé et donne aux patients la possibilité de gérer et d'organiser plus activement leur santé, par exemple grâce à des applications et des informations en ligne.  

Cette évolution soulève toutefois aussi de nouvelles questions en matière de protection des données et de sécurité de l'information, car les risques de cybersécurité dans le secteur de la santé ne cessent d'augmenter. Parallèlement, de plus en plus d'applications basées sur le cloud (par ex. Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure) sont utilisées pour traiter des données de santé sensibles, ce qui entraîne des risques accrus.

Plus de numérisation, plus de protection des données 

C'est dans ce contexte que le ministère fédéral allemand de la santé a présenté le 13 juillet 2023 le projet de "loi pour l'accélération de la numérisation du système de santé" (DigiG) et que le cabinet a adopté le 30 août 2023 les projets de DigiG et de "loi pour une meilleure utilisation des données de santé" (GDNG). L'objectif de ces lois est de simplifier le traitement quotidien des médecins et des patients en Allemagne grâce à des solutions numériques et d'améliorer les possibilités de recherche en Allemagne.

Une loi au rayonnement extraterritorial

 Même si les nouvelles lois ne s'appliquent pour l'instant qu'à l'Allemagne, les fournisseurs suisses de services de santé numériques doivent vérifier s'ils sont concernés, car les exigences ont une portée extraterritoriale. En l'occurrence, toutes les entreprises qui utilisent des services en nuage pour traiter des données de santé tombent sous le coup de la DigiG et de la GDNG. La filiale allemande d'un fournisseur suisse d'analyses de laboratoire, par exemple, sera également concernée par la nouvelle législation, tout comme le centre de recherche d'un groupe pharmaceutique suisse qui collecte des données de patients en Allemagne. 

À partir de juillet 2025, les entreprises ne pourront utiliser les services de cloud computing en rapport avec les données de santé personnelles des patients allemands que si le fournisseur de cloud computing dispose d'un rapport de contrôle C5 de type 2 du BSI (Office fédéral de la sécurité dans la technologie de l'information) sur la sécurité de l'information. Le BSI Cloud Computing Compliance Criteria Catalogue (BSI C5) est un catalogue de critères et décrit les exigences minimales en matière de sécurité de l'information pour les services en nuage, en dessous desquelles il ne faut pas descendre.

Cinq étapes pour obtenir un rapport d'audit 

Pour se mettre en conformité avec les exigences légales en Allemagne et s'assurer que le fournisseur de services cloud respecte toutes les exigences de la loi sur le numérique en temps voulu, les entreprises doivent suivre la feuille de route suivante : 

• Maintenant : Évaluer l'applicabilité de la loi sur le numérique pour le service cloude en Suisse. 

• Maintenant : Réaliser l'évaluation de l'écart C5 de la BSI, se préparer à l'examen C5 de la BSI. 

• D'ici fin 2023 : Examen du service cloud selon la norme BSI C5 type 1 (conception et mise en œuvre).
  L'auditeur émet une opinion sur la question de savoir si, au moment de l'audit, les contrôles sont conçus et mis en place de manière adéquate pour répondre aux critères du C5.
  
• Jusqu'à la mi-2024 : Vérifier le service de cloud conformément au BSI C5 type 2 (conception, mise en œuvre et efficacité).
  Outre l'évaluation de l'adéquation, l'efficacité des contrôles est vérifiée sur une période donnée (généralement un exercice) au moyen de contrôles aléatoires. 
•  Jusqu'au 1er juillet 2025: Rédaction et publication du rapport BSI C5.

#social#