Par Nathalie Boudet-Gizardin, associée et Charlotte Denis
Informations pratiques destinées aux médecins victimes de cyber-malveillance
A l’ère du tout numérique et de la médecine connectée, les cyberattaques contre les acteurs de la santé ont véritablement explosé à la suite du premier confinement.
Les établissements de santé sont les premières cibles de campagnes de piratages déstabilisatrices (cryptovirus, vols de données de santé, failles de cybersécurité en raison de négligences). Ces cyberattaques sont susceptibles de paralyser totalement et pendant plusieurs heures le fonctionnement des services hospitaliers. Plus encore, des demandes de rançon sont parfois avancées par les hackeurs.
Pour lutter contre ces attaques massives, il n’est plus rare de voir des établissements de santé conclure des contrats d’assurances spécifiques appelés « cyber assurance ».
De telles attaques ne concernent plus seulement aujourd’hui les établissements de santé mais également les professionnels de santé, et notamment les médecins libéraux.
A l’inverse de ces établissements, accompagnés quotidiennement par des services informatique et juridique capables de les assister dans la gestion d’une telle crise, les médecins de ville, parfois isolés dans leur cabinet, sont souvent beaucoup plus démunis face à une cyberattaque, qui peut être tout à la fois paralysante et traumatisante.
Ils sont pour autant, au même titre qu’un établissement ou qu’un laboratoire pharmaceutique, juridiquement « responsables de traitement » et ont, à ce titre, une obligation d’assurer la sécurité des données personnelles, comme le prévoit l’article 32 du RGPD, et plus précisément des données de santé de leurs patients.
Cette obligation leur impose de mettre en place des mesures de sécurité proportionnelles à leur risque et une procédure de gestion de crise, comportant un certain nombre de démarches à accomplir, en cas de survenance d’une cyberattaque.
Comment réagir à un acte de cyber-malveillance ?
Lorsque qu’un médecin libéral se trouve confronté à un acte de cyber-malveillance, comme par exemple, un piratage des comptes, un rançongiciel, etc., il est important d’adopter urgemment les bons réflexes.
Ces réflexes sont d’autant plus essentiels à avoir que les outils numériques utilisés par les médecins comportent les données de santé de leurs patients, qui sont des données sensibles.
Les premiers réflexes consistent donc à :
- déconnecter les ordinateurs et tablettes du réseau,
- ne pas payer la rançon si elle est demandée,
- déclarer l’incident sur le portail de signalement des évènements sanitaires indésirables prévu à cet effet https://signalement.social-sante.gouv.fr/psig_ihm_utilisateurs/index.html#/accueil
Pour déclarer l’incident sur ce portail, il convient d’aller dans l’onglet spécifique « vous êtes un professionnel de santé » et de cocher la case « cybersécurité – incident de sécurité des systèmes d’information ».
Dans un second temps, il est nécessaire de déposer une plainte.
En fonction de l’acte malveillant subit par le médecin, la plainte pourra être déposée pour atteinte aux biens en cas de vol et/ou pour atteinte à un traitement automatisé de données consistant à :
- accéder ou à se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données, et/ou
- à entraver ou fausser son fonctionnement, et/ou
- à introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient.
En outre, dès lors que les actes de cyber-malveillance, dont les médecins sont victimes, ont pour particularité d’impliquer des données de santé de patients, il convient dans un troisième temps, de notifier l’incident dans les 72 heures à compter de sa découverte, à la Commission Nationale de l’Informatique et des Libertés (CNIL)1.
En effet, comme rappelé dans un précédent article portant sur la sécurité des données de santé du patient2, en l’absence de notification de cet incident par le médecin, ce dernier pourra être sanctionné lourdement par la CNIL, pour manquement à la sécurité des données et manquement à l’obligation de notification, sur le fondement des articles 32 et 33 du RGPD.
Enfin, lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les responsables de traitement, dont font partie les médecins libéraux, ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.
Comment tenter de se prémunir contre ces attaques ?
Pour conserver la confiance de leurs patients, les médecins ont l’obligation légale de prendre des mesures permettant de sécuriser les données de santé qu’ils collectent. Afin de les accompagner , la CNIL a co-rédigé avec le Conseil National de l’Ordre des Médecins (CNOM) un guide pratique portant sur la protection des données en 20183.
Ainsi, il est notamment conseillé aux médecins de :
- limiter les informations collectées à ce qui est nécessaire à la prise en charge de leur patient ;
- respecter le délai légal relatif à la conservation des données, c’est-à-dire, 20 ans à compter du dernier rendez-vous médical4;
- sécuriser les échanges notamment avec les autres professionnels de santé en utilisant une messagerie sécurisée (et non whatsapp), et en chiffrant les pièces sensibles en cas d’utilisation d’une messagerie standard ;
- sécuriser l’accès aux données des patients, notamment en mettant en place des mesures appropriées comme l’utilisation d’un mot de passe personnel solide, l’utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, la limitation de l’usage des WiFi publics ou inconnus, l’authentification par l’intermédiaire de la carte professionnelle, etc.
Lorsque le médecin dispose d’un contrat avec un prestataire pour l’hébergement des données de santé, celui-ci doit garantir un niveau de sécurité suffisant. Il doit donc être certifié ou agréé, et respecter les conditions prévues à l’article L. 1111-8 du Code de la santé publique.
Il est également recommandé de procéder à la sauvegarde régulière des données, d’appliquer les mises à jour de sécurité sur les appareils électroniques et informatiques (PC, tablettes, téléphones…) utilisés et ce, dès qu’elles sont proposées, d’utiliser un antivirus, de télécharger les applications uniquement sur des sites officiels, et de séparer les usages personnels et professionnels des matériels, messageries, et « clouds ».
Réaliser un audit du système d’information de son cabinet libéral peut également permettre d’en identifier les failles et d’y apporter les correctifs nécessaires, afin de prévenir toutes attaques informatiques.
Il est donc impératif d’acquérir les bons réflexes pour, d’une part, se prémunir contre de telles attaques, et d’autre part, réagir rigoureusement et rapidement lorsqu’elles surviennent, de façon à éviter tout risque de sanction par la CNIL.
Rappelons en effet que les sanctions du fait d’un manquement à la sécurité des données représentent les deux tiers des sanctions infligées par la CNIL, ce qui devrait fortement inciter les médecins libéraux à mettre en conformité leur système d’information ou à se faire assister pour y parvenir.
1 - Article 33 du RGPD.
2 - https://ginestie.com/manquement-securite-donnees-sante-patient/?utm_source=rss&utm_medium=rss&utm_campaign=manquement-securite-donnees-sante-patient
3 - https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf .
4 - R. 1112-7 du code de la santé publique
Nathalie Boudet-Gizardin
Associée
Experte en Droit de la santé et des professions réglementées (conseil et contentieux), elle intervient dans différents domaines : structuration de l’activité des professionnels de santé, conseil sur les aspects réglementaires et déontologiques de leur activité, défense des acteurs de la santé dans des contentieux complexes, corporate santé, contentieux civils et disciplinaires des professions réglementées.