)
)
)
L’exemple récent du 10 novembre dernier, concernant la cyberattaque du logiciel médical WEDA a eu pour conséquence une indisponibilité d’accéder à une partie des données hébergées, dont notamment des informations médicales sensibles. Cette situation a fortement perturbé l’activité des médecins et de leurs cabinets et a compliqué la continuité des soins. Dans ces conditions, il est important de connaitre les démarches à suivre.
Quelles sont vos obligations en cas de cyberattaque ?
Effectuer en priorité une notification à la CNIL
En tant que responsable du traitement des données de vos patients au sens du règlement général sur la protection des données (RGPD), vous devez notifier l’incident à la CNIL dans les 72 heures suivant l’information de l’attaque.
La déclaration peut être effectuée ici : https://notifications.cnil.fr/notifications/index
En cas de dépassement du délai de 72 heures, effectuez tout de même la notification en précisant les raisons de ce retard.
Dans le cas précis de WEDA, si vous êtes concernés nous vous invitons à préciser dans la notification que vous faites face à des difficultés matérielles concernant l’information des patients, en raison du manque d’informations sur les données compromises et de la complexité d’envoyer une information à plusieurs centaines ou milliers de personnes.
Un dépôt de plainte contre X est également recommandé, mais peut être réalisé dans un second temps après la notification à la CNIL.
Information des patients
WEDA devrait prochainement transmettre des éléments plus précis permettant une communication individualisée.
Dans l’attente, une information générale, visible et proportionnée peut temporairement satisfaire à l’obligation d’information prévue par le RGPD. Vous pouvez ainsi réaliser un affichage synthétique au sein de votre salle d’attente ou sur votre plateforme de prise de rendez-vous.
Nous vous recommandons par ailleurs à conserver toutes les informations en votre possession concernant cette cyberattaque (courriels envoyés par la plateforme, copie de la notification déposée auprès de la CNIL, informations concernant le nombre et la typologie des données potentiellement visées, etc.).
Sécurisation de vos accès
Modifiez dès que possible tous les mots de passe que vous utilisez pour d’autres services et qui seraient identiques à celui utilisé sur le logiciel WEDA et activez l’authentification à double facteur si cela n’est pas encore le cas.
Malgré les difficultés que vous pouvez rencontrer par l’attaque, il est important de respecter les obligations déclaratives et d’informer les patients de manière adaptée (affichage, publication sur la plateforme de prise de rendez-vous). Des précisions complémentaires de la part de l’éditeur WEDA sont attendues pour un retour à la normale.
