Médecins et cybercriminalité

cyber attaque

Comment se prémunir et quels sont les risques en cas de divulgation des données de santé de ses patients ?

Si dans un premier temps, la cybercriminalité touchait essentiellement les grands groupes, les établissements de santé, les cabinets médicaux et donc les médecins ne sont plus épargnés et les données de santé sont devenues une cible privilégiée des hackers.

En effet, et au cours de ces dernières années, plusieurs établissements de santé ont été victimes de cryptovirus, logiciel malveillant qui chiffre les données d’un réseau afin de réclamer une rançon en échange de la clé de déchiffrement (on parle alors de « rançongiciel »).

Dans un rapport du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) publié le 5 février 2021, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a noté une progression de 255%, en 2020, des signalements d’attaques par rançongiciels.

La santé, cible privilégiée des cyber-attaques

Le secteur de la santé se trouve parmi les plus impactés et serait d’autant plus ciblé depuis le début de la crise sanitaire, comme en témoignent les récentes attaques de l’AP-HP en mars 2020, des Centres Hospitaliers de DAX et de VILLEFRANCHE SUR SAONE en février 2021 suivies quelques jours après d’une importante fuite de données collectées par une trentaine de laboratoires de biologie médicale.

Si d’un côté, les établissements de santé ont vu leur activité paralysée durant quelques heures, voire quelques jours, c’est aujourd’hui près de 500 000 patients qui ont pu voir leurs données de santé circuler librement sur internet… Ce qui n’est pas sans conséquence en termes de responsabilité des professionnels de santé.

👉 En effet, si ces attaques se multiplient dans les « petites structures », c’est qu’elles ne sécurisent pas toujours suffisamment ces données sensibles et sont donc encore aujourd’hui des proies faciles.

Depuis son entrée en vigueur le 25 mai 2018, le RGPD est venu renforcer la responsabilité des organismes et des professionnels de santé.

Au terme d’un guide élaboré et rédigé conjointement avec la CNIL en juin 2018, le Conseil National de l’Ordre des Médecins confirme que les médecins sont doublement concernés, car la protection des données personnelles s’articule avec leur secret professionnel et décrit précisément les procédures à mettre en place.

Lutte contre la cybercriminalité : ce que les médecins doivent savoir

Quelques points précis sont ainsi à vérifier par le médecin afin de s’assurer de sa mise en conformité avec le RGPD sous peine de sanction au titre d’une violation du secret médical, mais également d’une amende administrative ou financière par la CNIL pouvant aller jusqu’à 4% du chiffre d’affaires annuel du cabinet.

Ainsi, il est important de relever au titre de ces obligations, la nécessité de sécuriser les données.

AVANT TRAITEMENT DES DONNÉES

Vérification du système informatique

  • Serveur / logiciel / hébergeur/ cloud / WIFI sécurisé / sauvegarde régulière
  • Messagerie : professionnelle et cryptée
  • Ordinateur : mot de passe régulièrement renouvelé, mécanisme de verrouillage systématique au-delà d’une période de veille, pare-feu, antivirus régulièrement mis à jour
  • VPN pour accès à distance

Vérification des contrats

  • Secrétaires / salariés : insérer une clause au contrat au titre du respect du secret et de la confidentialité
  • Sous-traitant / fournisseur (notamment logiciels de consultations) : s’assurer que les sous-traitants se sont mis en conformité

LORS DU TRAITEMENT DES DONNÉES

Réception et transmission des données

  • Anonymisation des données : suppression des noms, numéro d’identification, données de localisation, identité physique, génétique, psychologique, économique, culturelle, sociale…
  • Envoi sécurisé via messagerie cryptée et ou pièces jointes protégées par code d’accès : bannir les messageries type Gmail, Wetransfer, pdf…
  • Verrouillage de l’ordinateur, modification du mot de passe
  • Accès limités ou non autorisés aux informations par les autres membres du cabinet selon leurs fonctions et qualités

Il est tout aussi nécessaire de notifier toute violation des données à la CNIL.

En effet, en cas de violation, suppression, perte, modification des données ou accès ou divulgations non autorisés des données suite à une violation de sécurité, le médecin a une obligation d’en établir un rapport et de notification à la CNIL sous 72h et aux personnes concernées dans les meilleurs délais.

Si la violation de données engendre un risque élevé pour les droits et libertés des patients concernés, sur demande de la CNIL ou à l’initiative des médecins, il convient de communiquer dans les meilleurs délais à la personne concernée cette violation. Deux exceptions :

  • Les données étaient chiffrées rendant impossible leur lecture
  • Des mesures ultérieures garantissent que le risque élevé n’est plus susceptible de se matérialiser

Cette communication doit intervenir individuellement ou, si cela exige des efforts disproportionnés, par une communication publique. Elle contient, a minima, les éléments suivants :

  • Nom et coordonnées du contact de votre cabinet
  • Conséquences probables
  • Mesures prises ou à prendre pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives

➡️ Il convient par ailleurs d’inscrire cette violation de données à caractère personnel. Cette inscription peut se faire dans un registre spécifique.

Dans l’hypothèse d’un rançongiciel

Il est important de ne pas céder à la demande de rançon et en toutes hypothèses, de contacter le plus rapidement possible, son assurance de responsabilité professionnelle pour l’informer de l’incident et obtenir une aide juridique.

Attention, si l’incident a eu lieu au sein d’établissements de santé, d’hôpitaux des armées, de laboratoires de biologie médicale ou de centres de radiothérapie, la structure doit également notifier l’incident à l’Agence Régionale de Santé compétente.

Pour conclure et face au développement des cyber-attaques dans le domaine de la santé, il est fortement recommandé de vérifier le niveau de sécurité de son cabinet et de vérifier auprès de votre compagnie d’assurance que vous êtes bien couverts au titre des risques de cyber-attaques.

Laure SOULIER
Avocat associé
Cabinet AUBER