Dans le contexte actuel où la cybercriminalité est en hausse et où l’organisation des JO va faire des organismes et entreprises français des cibles de choix pour les cyber-délinquants, le vol de données de santé en France est une préoccupation majeure pour les professionnels du secteur et, surtout, pour les patients. En effet, les infractions liées à la cybersécurité menacent la confidentialité des informations médicales des patients et touchent aux versants les plus intimes de chacun.
Malgré des obligations légales et règlementaires strictes en matière de protection des données personnelles, notamment le Règlement Général sur la Protection des Données (RGPD) qui impose des normes élevées pour le traitement et la sécurisation des données de santé, de nombreux incidents sont survenus récemment, suscitant inquiétude et incompréhension.
Ainsi, en février dernier, nous apprenions que 33 millions de personnes ont été victimes de cyberattaques ayant visé Viamedis et Almerys, deux entreprises gestionnaires du système de tiers payant le 8 février dernier. La CNIL a précisé que les données dérobées concernaient l’état civil, la date de naissance, le numéro de Sécurité sociale, ainsi que les différentes garanties du contrat souscrit.
Outre des interrogations légitimes sur le sort qui sera fait de leurs données, les patients voient le traitement de leurs dossiers profondément altéré. En effet, ce vol a notamment pour conséquence que les patients sont contraints d’avancer des frais importants sans savoir quand ils seront remboursés, tandis que les professionnels de santé se retrouvent dans l’impossibilité d’émettre des devis ou factures.
Les organismes de mutuelle ne sont pas seuls touchés, loin s’en faut. En effet, les établissements de santé sont également fréquemment visés : récemment le centre hospitalier Sud Francilien de Corbeil Essonnes a fait l’objet d’une attaque de type Ransomware, tout comme l’hôpital d’Armentières (Nord) ou l’hôpital André Mignot (Yvelines) avant lui. Là encore, des paralysies informatiques consécutives aux cyberattaques ont gravement affecté la prise en charge des malades.
En mars 2021, ce sont des laboratoires d’analyses médicales qui avaient vu les données personnelles de près de 500 000 patients faire l’objet d’une atteinte cyber.
Si la crise sanitaire a mis en évidence le besoin impératif de recourir à l’utilisation d’outils numériques tels que la télémédecine ou le dossier médical partagé et a, probablement, accéléré la propension à utiliser Internet dans le cadre d’un parcours santé (ex : réservation créneau vaccination via Doctolib, StopCovid, etc.), cette transformation technologique s’accompagne de menaces accrues pour la sécurité des données personnelles et plus particulièrement les données de santé.
Ces préoccupations ont, par ailleurs, été mises en lumière à l’occasion du débat sur le Health Data Hub et le choix, par les autorités publiques, de recourir à Microsoft comme prestataire d’hébergement sur fond de polémiques liées à la question de la souveraineté numérique.
Dans cette optique, la stratégie de santé numérique en France et la généralisation annoncée du recours à l’Intelligence artificielle en matière de santé appelle enthousiasme et vigilance, dans une approche « en même temps » très contemporaine.
Rappelons que les données de santé sont qualifiées de données à caractère personnel dites sensibles par le Règlement Général sur la Protection des Données à caractère Personnel dit RGPD et qu’à ce titre, c’est une interdiction de principe de traitement de ces données sauf conditions strictes. De surcroît, le RGPD retient une acception large de la notion de données de santé qui englobe les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.
Pour mémoire, sont donc considérées comme des données de santé :
- les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
- les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
- les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).
Ainsi, on peut tenter de regrouper les données de santé en trois catégories :
- les données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc ;
- les données, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc ;
- les données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.
En cas d’acte malveillant ou de cyberattaques portant sur les données de santé, le professionnel de santé ou la structure concernée doit réagir rapidement, en adoptant les deux réflexes suivants.
D’une part, il est essentiel de rappeler que le RGPD met à la charge du responsable de traitement un certain nombre d’obligations en cas de survenance d’une faille de sécurité. Il convient donc de se conformer à l’obligation de notifier à l’autorité de contrôle (la CNIL), dans un délai maximum de 72 heures, toute violation de données susceptible d’entrainer des risques pour les droits et les personnes. De plus, il s’agira d’accompagner cette notification d’une description de la faille de sécurité ainsi que des mesures prises à l’occasion de la découverte de cette faille. L’organisme ou l’entreprise qui découvre une cyberattaque devra également évaluer si une notification de cette faille de sécurité aux personnes concernées est nécessaire.
D’autre part, un dépôt de plainte auprès du procureur de la République est préconisé, sous l’angle de l’incrimination d’atteintes aux systèmes de traitement automatisé de données (STAD) prévue aux articles 323-1 à 323-8 du Code pénal. C’est d’ailleurs sous cette qualification qu’une enquête préliminaire a été ouverte et confiée à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Préfecture de Police de Paris dans le cadre de la fuite des données de Viamedis et Almerys. Conscient de l’ampleur de l’atteinte aux données dans cette affaire, le Ministère de l’Intérieur a mis en ligne un formulaire de lettre plainte pour les individus désireux de déposer plainte sans avoir à se rendre en commissariat ou gendarmerie. D’autres infractions peuvent également être mobilisées pour sanctionner l’utilisation frauduleuse qui pourrait être faite des données volées, comme l’usurpation d’identité, l’extorsion, l’abus de confiance ou l’escroquerie, la fraude aux prestations sociales, le recel, etc.
Du côté des patients, de nouvelles actions ont vu le jour, dont l’avenir nous dira si elles constituent des recours effectifs. Il s’agit, d’abord, de l’action de groupe en matière de données personnelles, rendue possible par l’article 37 de la loi « informatique et libertés » du 6 janvier 1978 et d’autre part, de l’action visée à l’article 80.1 du RGPD qui permet un recours collectif (soit une action avec représentation conjointe) pour faire cesser des manquements et/ou obtenir réparation des préjudices subis à raison d’une violation de données.
A ce jour, ce type d’actions a plutôt été mené à l’encontre des GAFAM et avaient attrait à des questions de consentement ou d’informations des utilisateurs.
Néanmoins, compte tenu des enjeux sur la vie privée et de la préoccupation croissante que ceux-ci engendrent, il n’est pas à exclure la mise en œuvre d’actions en matière de données personnelles à l’encontre d’acteurs qui ne sont pas des « géants du numérique », tels que des opérateurs du secteur de la santé qui auraient été négligents.
Dans cette optique, on ne peut qu’appeler les différentes parties prenantes du parcours de santé en France à déployer des mesures préventives pour renforcer la robustesse de leurs systèmes d’information ainsi qu’à vérifier et mettre à jour régulièrement les « mesures techniques et opérationnelles » devant garantir un niveau de sécurité adapté compte tenu des risques.
En matière de données, comme pour la santé, mieux vaut prévenir que guérir !
Recherche Avancée sur le Village
Discussion en cours :
Vous décrivez de façon suffisamment détaillée ce sujet complexe, mais le patient, l’assuré, il fait quoi en attendant ?
Aucune mesure n’a été proposée par les organismes concernés pour d’une part informer leurs administrés des mesures prises pour empêcher que cela se reproduise, mais beaucoup plus grave, proposer une solution qui rendra l’utilisation frauduleuse du n° de sécurité sociale impossible. Car il est possible de fermer un compte bancaire si son identification à été violée, mais il est impossible de changer de n° de sécu.!
Le danger principal étant l’usurpation d’identité, devant lequel danger les organismes concernés ne font rien. Assumeront-ils entièrement leurs responsabilités si des assurés sont victimes de ce fléau ?