Médecins et cybercriminalité : comment se prémunir et quels sont les risques en cas de divulgation des données de santé de ses patients ?

Si dans un premier temps, la cybercriminalité touchait essentiellement les grands groupes, les établissements de santé et les cabinets médicaux ne sont plus épargnés et les données de santé sont devenues une cible privilégiée des hackers. En effet et au cours de ces dernières années, plusieurs établissements de santé ont été victimes de cryptovirus, logiciel malveillant qui chiffre les données d’un réseau afin de réclamer une rançon en échange de la clé de déchiffrement (on parle alors de « rançongiciel »).

Dans un rapport du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) publié le 5 février 2021, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a noté une progression de 255%, en 2020, des signalements d’attaques par rançongiciels.

Le secteur de la santé se trouve parmi les plus impactés et serait d’autant plus ciblé depuis le début de la crise sanitaire, comme en témoignent les récentes attaques de l’AP-HP en mars 2020, des Centres Hospitaliers de DAX et de VILLEFRANCHE SUR SAONE en février 2021 suivies quelques jours après d’une importante fuite de données collectées par une trentaine de laboratoires de biologie médicale.

Si d’un côté, les établissements de santé ont vu leur activité paralysée durant quelques heures voire quelques jours, c’est aujourd’hui près de 500 000 patients qui ont pu voir leurs données de santé circuler librement sur internet …ce qui n’est pas sans conséquence en terme de responsabilité des professionnels de santé.

En effet, si ces attaques se multiplient dans les « petites structures », c’est qu’elles ne sécurisent pas toujours suffisamment ces données sensibles et sont donc encore aujourd’hui des proies faciles.

Depuis son entrée en vigueur le 25 mai 2018, le RGPD est venu renforcer la responsabilité des organismes et des professionnels de santé.

Au terme d’un guide élaboré et rédigé conjointement avec la CNIL en juin 2018, le Conseil National de l’Ordre des Médecins confirme que les médecins sont doublement concernés car la protection des données personnelles s’articule avec leur secret professionnel et décrit précisément les procédures à mettre en place :

https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf

Quelques points précis sont ainsi à vérifier par le médecin afin de s’assurer de sa mise en conformité avec le RGPD sous peine de sanction au titre d’une violation du secret médical mais également d’une amende administrative ou financière par la CNIL pouvant aller jusqu’à 4% du chiffre d’affaire annuel du cabinet.

Il est important de relever au titre de ces obligations, la nécessité :

1. de sécuriser les données:

AVANT TRAITEMENT DES DONNEES

LORS DU TRAITEMENT DES DONNEES

Vérification du système informatique :

Serveur / logiciel / hébergeur/ cloud / WIFI sécurisé / sauvegarde régulière
Messagerie : professionnelle et cryptée
ordinateur : mot de passe régulièrement renouvelé, mécanisme de verrouillage systématique au-delà d’une période de veille, pare-feu, antivirus régulièrement mis à jour
VPN pour accès à distance
Réception et transmission des données

– Anonymisation des données : suppression des noms, numéro d’identification, données de localisation, identité physique, génétique, psychologique, économique, culturelle, sociale…

– Envoi sécurisé via messagerie cryptée et ou pièces jointes protégées par code d’accès : bannir les messageries type gmail, wetransfer, pdf…

Vérification des contrats :

secrétaire / salariés
insérer une clause au contrat au titre du respect du secret et de la confidentialité

sous-traitant / fournisseur (notamment logiciels de consultations: s’assurer que les sous-traitants se sont mis en conformité
Conservation

Verrouillage de l’ordinateur, modification du mot de passe

Accès limités ou non autorisés aux informations par les autres membres du cabinet selon leurs fonctions et qualités

de notifier toute violation des données à la CNIL :
En effet, en cas de violation, suppression, perte, modification des données ou accès ou divulgations non autorisés des données suite à une violation de sécurité, le médecin a une obligation d’en établir un rapport et de notification à la CNIL sous 72h et aux personnes concernées dans les meilleurs délais.

Si la violation de donne´es engendre un risque e´leve´ pour les droits et liberte´s des patients concerne´s, sur demande de la CNIL ou a` l’initiative du médecin, il convient de communiquer dans les meilleurs de´lais a` la personne concerne´e cette violation, excepte´ si les donne´es avaient e´te´ chiffre´es rendant impossible leur lecture, ou si des mesures ulte´rieures prises garantissent que le risque e´leve´ n’est plus susceptible de se mate´rialiser.

Cette communication doit intervenir individuellement ou, si cela exige des efforts disproportionne´s, par une communication publique. Elle contient, a minima, les e´le´ments suivants : nom et coordonne´es du contact de votre cabinet, conse´quences probables, mesures prises ou a` prendre pour reme´dier a` la violation, y compris, le cas e´che´ant, les mesures pour en atte´nuer les e´ventuelles conse´quences ne´gatives.

Il convient par ailleurs d’inscrire cette violation de donne´es a` caracte`re personnel. Cette inscription peut se faire dans un registre spe´cifique.

Dans l’hypothèse d’une rancongiciel, il est important de ne pas céder à la demande de rançon et en toutes hypothèses, de contacter le plus rapidement possible, son assurance de responsabilite´ professionnelle pour l’informer de l’incident et obtenir une aide juridique.

Attention, si l’incident a eu lieu au sein d’e´tablissements de sante´, d’ho^pitaux des arme´es, de laboratoires de biologie me´dicale ou de centres de radiothe´rapie, la structure doit e´galement notifier l’incident a` l’Agence Re´gionale de Sante´ compe´tente.

Pour conclure et face au développement des cyber-attaques dans le domaine de la santé, il est fortement recommandé de vérifier le niveau de sécurité de son cabinet et de vérifier auprès de votre compagnie d’assurance que vous êtes bien couverts au titre des risques de cyber-attaques.

Laure SOULIER Avocat associé

Cabinet AUBER