Comment Salesforce aide le secteur de la santé à respecter les exigences de conformité de l’UE ?

C’est une période décisive pour l’industrie des soins de santé et des sciences de la vie. Les progrès de la technologie et du cloud computing continuent d’accélérer l’innovation sur des plateformes sûres et sécurisées, d’améliorer l’expérience des patients comme des professionnels de santé et d’optimiser la chaîne d’approvisionnement des industries de la santé.

Rien que dans le secteur des soins de santé, le nombre de technologies cloud susceptibles de transformer l’expérience du patient la sécurité, la qualité, l’information médicale et les services aux patients est considérable – depuis le système ERP, les dossiers médicaux électroniques, l’imagerie médicale, jusqu’aux services de communication, la gestion du backend office, la télémédecine et les dispositifs médicaux.

Cependant, au cœur des enjeux du cloud se trouvent les questions d’intégrité des données, de solidité et de fiabilité du système, de conformité aux normes, de confiance des patients dans la confidentialité et la sécurité de leurs données. Au lieu de cela, le paysage juridique et réglementaire est constitué de règles et d’exigences multiples pour différentes régions et industries.

Les acteurs du secteur de la santé et des sciences de la vie sont concernés au plus haut point par les enjeux de gestion et de protection des données, en comparaison avec d’autres secteurs.

En pratique, le premier obstacle auquel ces acteurs sont confrontés réside dans le manque de confiance des patients et des professionnels de santé concernant le stockage de données dans le cloud. De nombreuses organisations n’ont pas l’expertise nécessaire en matière de sécurité et de technologie pour donner des gages et garantir une parfaite conformité avec les réglementations nécessaires. Mais elles peuvent compter sur les acteurs du cloud pour les y aider.

1. Trouver le bon partenaire

Avec la technologie cloud, le fournisseur de service — par exemple Salesforce — est garant du traitement des informations pour le compte du contrôleur de données (en l’occurrence, l’organisation de santé ou des sciences de la vie) et chaque partie a des obligations différentes.

Le RGPD désigne le contrôleur de données comme la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Le responsable du traitement des données désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du contrôleur de données.

Le stockage sur le cloud est-il conforme au RGPD ? En définitive, la responsabilité concernant la conformité incombe à l’entreprise de santé ou des sciences de la vie mais Salesforce cherche à partager cette responsabilité en créant des solutions qui s’adaptent à leurs besoins spécifiques en matière de conformité.

La confiance est une valeur cardinale pour Salesforce. Rien n’est plus important pour nous que d’aider nos clients à protéger leurs données et la vie privée de leurs patients tout en garantissant la conformité aux réglementations et aux exigences propres à chaque pays. Vous pouvez consulter ici la liste complète des certifications et attestations de conformité que possède Salesforce, par zone géographique et par secteur d’activité.

2. Comment les données sont-elles protégées avec Salesforce ?

Tout au long de l’élaboration et de l’approbation du RGPD, nous avons travaillé en étroite collaboration avec la Commission européenne et ses organismes et agences associés, ainsi que les autorités chargées de la protection des données et les acteurs industriels mobilisés. Peu d’entreprises peuvent égaler les engagements en matière de protection de la vie privée que nous avons pris dans notre addendum sur le traitement des données. Salesforce est également un membre fondateur du Code de conduite cloud de l’UE (EU Cloud Code of Conduct), une charte qui permettra aux fournisseurs de service de démontrer leur conformité au RGPD.

Alors que la data intelligence monte en puissance, il est essentiel que les entreprises soient responsables de la protection de la vie privée et des données des individus. La plateforme Salesforce fournit les outils nécessaires pour renforcer la confiance et la transparence tout en améliorant l’expérience humaine. Notre centre de confidentialité Customer 360 fournit une solution complète pour simplifier la gestion de la confidentialité et des données, la conformité et l’archivage des données.

Nos programmes de sécurité et de protection de la vie privée sont fiables et respectent les normes les plus élevées du secteur. Vous pouvez même mettre en œuvre votre propre politique de sécurité pour satisfaire les besoins spécifiques de votre entreprise.

3. Six points à inclure dans votre politique de sécurité

Une politique complète de sécurité du cloud doit couvrir six domaines essentiels :

• Gestion des identités et des accès (IAM – Identity and Access Management) ;
• Sécurité des données dans le cloud ;
• Sécurité du système d’exploitation ;
• Protection de la couche réseau ;
• Gestion des alertes, des pistes d’audit et des réponses aux incidents ;
• Respect de réglementations européennes spécifiques telles que le RGPD, la certification GxP, l’ISO et le EU Cloud Data Code of Conduct.

Chaque couche de la plateforme Salesforce est sécurisée. Au niveau de l’infrastructure, il est possible de configurer les capacités de réplication et de sauvegarde, ainsi que des outils de plan de reprise d’activité. Les services réseaux incluent le cryptage en transit et la détection avancée des menaces et nos services d’application assurent la gestion des identités, l’authentification et les contrôles d’accès des utilisateurs.

Gestion des identités et des accès (IAM – Identity and Access Management)

La gestion des identités et des accès, ou Identity and access management (IAM), est essentielle à la création d’un environnement sécurisé. Les mesures de sécurité comprennent l’authentification multifacteur, la gestion de mots de passe, la création et la désactivation d’identifiants, le contrôle d’accès basé sur les rôles, la séparation des environnements et l’activité de comptes privilégiés.

Sécurité des données dans le cloud

Les données doivent être sécurisées à chaque étape, en incluant leur transit et leur stockage. Il convient de déterminer qui est responsable de la sécurité des données à chaque étape. Le modèle de responsabilité partagée définit les interactions avec les données du cloud et la responsabilité en matière de sécurité des données. Salesforce vous permet de classifier celle-ci pour suivre qui y a accès. Les données sont chiffrées selon le principe Hold Your Own Key — Salesforce ne stocke que les données après leur chiffrement, en aucun cas des informations personnelles identifiables (PII) ou des informations de santé protégées (PHI). Le masquage de données est également disponible afin de garantir que les développeurs ne sont pas exposés aux données PII et PHI dans les environnements Sandbox.

Sécurité du système d’exploitation

Un bon système d’exploitation est un système d’exploitation bien sécurisé. La programmation des opérations de maintenance, une configuration du système toujours à jour et la mise en œuvre des correctifs sont essentiels. De nombreux cybercriminels sont prêts à exploiter la moindre faille — ne leur en laissez pas la possibilité.

Protection de la couche réseau

La sécurité des réseaux peut s’avérer complexe, surtout pour les acteurs de santé et des sciences de la vie, mais il est essentiel d’empêcher tout accès non autorisé à vos systèmes. Identifiez les besoins de segmentation, comment mettre en place la connectivité et assurez-vous que la maintenance du réseau est optimale.

Gestion des alertes, des pistes d’audit et des réponses aux incidents

De nombreuses données doivent être analysées pour améliorer la gestion des événements et la sécurité. Des algorithmes de corrélation adaptés sont également essentiels aux opérations cloud. Il est important d’utiliser les fonctionnalités d’historiques et de surveillance de votre fournisseur et d’activer les notifications en cas de changements inattendus ou d’échecs d’authentification.

Respect des réglementations

La conformité est particulièrement importante dans le secteur de la santé et des sciences de la vie. Le RGPD considère les données de santé comme une catégorie spéciale de données à caractère personnel. C’est pourquoi il impose des normes de protection plus strictes. Les organisations gérant des données de santé ont l’obligation de :

• Mettre en place des mesures adaptées pour assurer la sécurité des systèmes de traitement, des services et des données à caractère personnel ;
• Évaluer l’impact de la protection des données ;
• Signaler toute violation de données pouvant avoir un impact sur les droits et libertés d’individus dans les 72 heures.

La solution Salesforce est-elle conforme à la certification GxP ?

Les laboratoires pharmaceutiques et les entreprises de dispositifs médicaux doivent respecter les réglementations de l’Union Européenne ainsi que les réglementations des pays dans lesquelles ils opèrent. Les solutions doivent être conçues et vérifiées par des audits internes et externes selon les bonnes pratiques de fabrication automatisée (GAMP 5), également appelées GxP, ou « bonnes pratiques ». Elles définissent les normes de sécurité relatives aux processus de fabrication et de stockage, ainsi que les normes de recherche pour les laboratoires non cliniques et pour la sécurité des essais cliniques. Salesforce est conforme à la certification GxP car la plateforme est alignée avec les systèmes de gestion de la qualité (SGQ) de nos clients.

Côté fournisseur, tout processus (signature électronique d’un médecin lors de la livraison d’échantillons de produits, enregistrement d’une demande d’information médicale ou encore validation électronique par un responsable des modifications apportées aux processus de gestion de la qualité) doit être conforme au titre 21 du Code of Federal Regulations de la FDA relatif aux enregistrements électroniques et signatures électroniques (annexe 11 des BPF de l’EMA).

Salesforce permet aux entreprises de santé et des sciences de la vie de respecter les règles de conformité :

• En fournissant un historique vérifiable et immuable des modifications apportées aux dossiers, au niveau de l’utilisateur et pendant une période prolongée ;
• En saisissant et en stockant des données avec un cryptage 256 bits ;
• En garantissant que les développeurs puissent utiliser des données réelles sans révéler d’informations personnelles identifiables (PII) grâce au masquage des données ;
• En utilisant la surveillance des événements pour obtenir des informations plus approfondies sur les événements, restreindre l’accès ou déclencher une alerte en cas d’activité suspecte.

La réauthentification au cours du processus pour vérifier l’identité de l’utilisateur lors de l’accès à des dossiers contrôlés est prévue pour 2023.

4. Un écosystème de confiance

De nombreuses solutions sur AppExchange sont conçues spécialement pour l’industrie de la santé et des sciences de la vie par des développeurs de confiance indépendants. Entre autres : des systèmes de gestion de la qualité, sécurité et pharmacovigilance, des systèmes de gestion des essais cliniques et des solutions de signature électronique pouvant être configurées selon les besoins en matière de conformité.

Travailler avec un intégrateur partenaire de Salesforce vous permettra d’accélérer la mise en conformité en exploitant des composants prêts à l’emploi, les meilleures pratiques, la documentation, les tests et la validation.

La conformité et la sécurité constituent des missions de grande ampleur mais, avec les bons partenaires et la bonne technologie, vous découvrirez qu’une grande partie des solutions existent déjà. Le déploiement de vos politiques de sécurité permet d’appliquer le niveau approprié de confidentialité des données. Le respect des réglementations est simplifié et la sécurité de vos données est assurée pendant que vous bénéficiez des nombreux avantages du cloud.