Cybersécurité : de nouvelles mesures de protection bienvenue

Du 13 au 15 mai, plus de 200 000 entreprises et structures ont subi de par le monde une attaque massive par le Ransomware WannaCry. L’Europe et la France n’ont pas été épargnées avec la paralysie d’usines Renault, ou des hôpitaux anglais mis en grande difficulté. Un épisode qui vient légitimer et justifier la série de nouvelles mesures réglementaires qui ont été adoptées en 2016 et qui entrent progressivement en application.

Avec un objectif prioritaire dans la santé : mieux protéger les données de santé particulièrement sensibles puisqu’elles constituent des données personnelles de valeur pour les pirates.

Raisons et objectifs du renforcement

Par-delà l’épisode spectaculaire de l’attaque massive du week-end de la mi-mai, les chiffres parlent d’eux mêmes : en 2015, la France a intégré le top dix des pays les plus touchés par les cyberattaques. La même année, on comptait 21 incidents de cybersécurité par jour, pour un coût total estimé, en France, à 3,36 milliards d’euros.

Et ce risque ne cesse d’augmenter : en 2016, plus de 80 % des structures françaises ont subi au moins une cyber-attaque dans l’année. Le renforcement actuel des règles de cybersécurité obéit à deux objectifs principaux : préserver l’activité des structures pour éviter les préjudices économiques ; en matière de santé, protéger les données de santé personnelles pour prémunir les citoyens et éviter les ruptures de soins en cas de paralysies des structures.

Les nouvelles règles françaises comme européennes visent à la fois à organiser la prévention et le renforcement des systèmes informatiques des acteurs de santé mais aussi à augmenter les sanctions de ceux qui voudraient les pirater.

Un renforcement d’une responsabilité déjà existante pour les professionnels de santé

Le sujet de la protection des données n’est bien entendu pas nouveau. Depuis plusieurs années déjà, les professionnels de santé ont des obligations en termes de sécurisation des données patient qu’ils génèrent ou utilisent. Des obligations qu’ils délèguent le plus souvent à des prestataires et à leurs fournisseurs de solution informatique (matériel, logiciels). Ce qui ne les exonère pas pour autant de leur responsabilité.

Ainsi, la loi Informatique et liberté de 1978, modifiée très régulièrement depuis, et le Code de la santé publique encadrent précisément leurs obligations et les conséquences en cas de non-respect. Avec, au pire des cas, des lourdes sanctions prévues contre le professionnel de santé pour violation du droit au respect de la vie privée.

Tout professionnel de santé doit ainsi, au minimum :

–      s’assurer que l’accès aux données de ses patients soit impossible par une personne non autorisée ;

–      vérifier que la modification et la suppression de ces données patients soit impossibles, y compris par erreur ;

–      quand il héberge ses données hors de son cabinet, choisir un prestataire ou une solution de stockage de ces données externes qui respectent l’ensemble des obligations d’hébergement de donnes de santé (décret n°2006-6).

–      utiliser des moyens de communication adaptés lorsqu’il échange des données des santé avec des tiers autorisés tel que les autres professionnels de santé membres de l’équipe de soins du patient. L’utilisation d’une messagerie professionnelle sécurisée n’est pas encore obligatoire. Cependant, tout professionnel de santé doit toutefois respecter le cadre juridique de l’échange des données personnelles de santé (art. L1110-4, art. 1111-8 du Code de la santé publique)

Pour en savoir plus ; les dernières évolutions législatives et réglementaires

• 26 janvier 2016  – Loi de modernisation du système de santé.

–        Elle  stipule, notamment, que la conservation, les échanges et la transmission des données de santé doivent se faire conformément aux référentiels d’interopérabilité et de sécurité.

Elle modifie les conditions pour être hébergeur de données médicales et renforce la sécurité des systèmes d’information des établissements de santé et des organismes et services exerçant des activités de prévention, de diagnostic ou de soins. Ils doivent en effet signaler à l’ARS, sans délai, les incidents graves de sécurité des systèmes d’information.

• 14 avril 2016 – Adoption au Parlement européen du Règlement général sur la protection des données (RGPD) ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives.

Le règlement, directement applicable sans avoir à passer par une transposition nationale, sera effectif le 25 mai 2018. Outre les règles et les sanctions, il définit pour la première fois ce qu’est une donnée de santé : il s’agit des « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. »

Elles comprennent « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ».

Cette définition est large et implique donc tous les professionnels de santé, qu’ils exercent au sein d’une structure ou qu’ils soient en exercice indépendant.

• Le décret du 12 septembre 2016

Il instaure le système de collecte des incidents survenus dans les systèmes d’information des laboratoires de biologie médicale, des établissements de santé et des cabinets de radiologie. Et ce, de façon à alerter l’ensemble de ces professionnels en cas de cyberattaque. Cd décret sera applicable à compter du 1er octobre 2017.

• La loi du 7 octobre 2016 pour une République numérique

Cette loi anticipe certaines dispositions du RGPD européen comme le renforcement de l’obligation d’information (qui est prévue par la loi Informatique et Libertés) ou celui des pénalités en cas de non-respect de la loi, lesquelles peuvent aller jusqu’à 3 millions d’euros d’amende.