La mise en œuvre des étiquettes de sécurité FHIR suscite un intérêt croissant, bien que la confidentialité des données sensibles freine la diffusion des informations sur son déploiement concret. Cette approche, basée sur le contrôle d’accès basé sur les attributs (ABAC), s’avère cruciale pour la protection des informations dans des secteurs tels que la santé, la finance et la défense.
L’ABAC, standard informatique reconnu, joue un rôle déterminant dans la gestion des accès aux données sensibles. Les premières étapes pour adopter cette technologie impliquent une compréhension approfondie de ses principes et de ses implémentations génériques, qui constituent le socle de la norme FHIR.
Plusieurs ressources clés permettent d’explorer cette technologie :
- La spécification FHIR elle-même détaille l’intégration des étiquettes de sécurité et de l’ABAC au sein du modèle de ressource FHIR. Ce document, disponible sur build.fhir.org/security-labels.html, fournit le vocabulaire et les explications nécessaires.
- Le guide d’implémentation « Data Segmentation for Privacy » (DS4P), consultable sur hl7.org/fhir/uv/security-label-ds4p/, offre une approche plus approfondie de l’utilisation des étiquettes de sécurité, intégrant des fonctionnalités avancées qui dépassent les besoins immédiats de la plupart des systèmes.
- Le profil « Confidentiality Consent on FHIR » (PCF), proposé par l’IHE sur profiles.ihe.net/ITI/PCF/index.html, se concentre sur le profilage du consentement et aborde spécifiquement les étiquettes de sécurité dans son annexe P, ainsi que les profils de consentement liés à l’utilisation des données labellisées.
- L’organisation Drummond Group, à laquelle l’auteur est associé, promeut activement l’avancée de la protection de la vie privée grâce aux étiquettes de sécurité via son initiative SHIFT (www.drummondgroup.com/shift/). Ce groupe multidisciplinaire intègre des experts en technologie et en politique, accordant une importance particulière à la dimension politique que HL7 et IHE ne peuvent entièrement couvrir.
Mohammad Jafari, coprésident du Conseil de la cybersécurité et de la protection de la vie privée (CBCP), a développé une implémentation open source. Son implication aux côtés de l’auteur sur les différentes initiatives mentionnées a permis la démonstration de plusieurs prototypes au fil des années.
Bien que des articles de blog aient été publiés sur le sujet, la majorité du contenu a été intégrée dans les ressources documentaires citées ci-dessus.