NOS PUBLICATIONS.

Médecins et cybercriminalité : comment se prémunir et quels sont les risques en cas de divulgation des données de santé de ses patients ?

Responsabilité Médicale

le 09/03/2021

Si dans un premier temps, la cybercriminalité touchait essentiellement les grands groupes, les établissements de santé et les cabinets médicaux ne sont plus épargnés et les données de santé sont devenues une cible privilégiée des hackers.

 

En effet et au cours de ces dernières années, plusieurs établissements de santé ont été victimes de cryptovirus, logiciel malveillant qui chiffre les données d'un réseau afin de réclamer une rançon en échange de la clé de déchiffrement (on parle alors de "rançongiciel").

 

Dans un rapport du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) publié le 5 février 2021, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a noté une progression de 255%, en 2020, des signalements d'attaques par rançongiciels.

 

Le secteur de la santé se trouve parmi les plus impactés et serait d'autant plus ciblé depuis le début de la crise sanitaire, comme en témoignent les récentes attaques de l’AP-HP en mars 2020, des Centres Hospitaliers de DAX et de VILLEFRANCHE SUR SAONE en février 2021 suivies quelques jours après d’une importante fuite de données collectées par une trentaine de laboratoires de biologie médicale.

 

Si d’un côté, les établissements de santé ont vu leur activité paralysée durant quelques heures voire quelques jours, c’est aujourd’hui près de 500 000 patients qui ont pu voir leurs données de santé circuler librement sur internet …ce qui n’est pas sans conséquence en terme de responsabilité des professionnels de santé.

 

En effet, si ces attaques se multiplient dans les « petites structures », c’est qu’elles ne sécurisent pas toujours suffisamment ces données sensibles et sont donc encore aujourd’hui des proies faciles.

 

Depuis son entrée en vigueur le 25 mai 2018, le RGPD est venu renforcer la responsabilité des organismes et des professionnels de santé.

 

Au terme d’un guide élaboré et rédigé conjointement avec la CNIL en juin 2018, le Conseil National de l’Ordre des Médecins confirme que les médecins sont doublement concernés car la protection des données personnelles s’articule avec leur secret professionnel et décrit précisément les procédures à mettre en place :

 

https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf

 

Quelques points précis sont ainsi à vérifier par le médecin afin de s’assurer de sa mise en conformité avec le RGPD sous peine de sanction au titre d’une violation du secret médical mais également d’une amende administrative ou financière par la CNIL pouvant aller jusqu’à 4% du chiffre d’affaire annuel du cabinet.

 

 

 

 

 

Il est important de relever au titre de ces obligations, la nécessité :

 

 

 

1)    de sécuriser les données:

 

 

AVANT TRAITEMENT DES DONNEES

LORS DU TRAITEMENT DES DONNEES

Vérification du système informatique :

-       Serveur / logiciel / hébergeur/ cloud / WIFI sécurisé / sauvegarde régulière

-       Messagerie : professionnelle et cryptée

-       ordinateur : mot de passe régulièrement renouvelé, mécanisme de verrouillage systématique au-delà d’une période de veille, pare-feu, antivirus régulièrement mis à jour

-       VPN pour accès à distance

 

Réception et transmission des données

- Anonymisation des données : suppression des noms, numéro d’identification, données de localisation, identité physique, génétique, psychologique, économique, culturelle, sociale…

- Envoi sécurisé via messagerie cryptée et ou pièces jointes protégées par code d’accès : bannir les messageries type gmail, wetransfer, pdf…

Vérification des contrats :

 

-       secrétaire / salariés

insérer une clause au contrat au titre du respect du secret et de la confidentialité

-       sous-traitant / fournisseur (notamment logiciels de consultations: s’assurer que les sous-traitants se sont mis en conformité

Conservation

 

Verrouillage de l’ordinateur, modification du mot de passe

Accès limités ou non autorisés aux informations par les autres membres du cabinet selon leurs fonctions et qualités

 

 

 

 

 

 

 

 

2)    de notifier toute violation des données à la CNIL :

 

En effet, en cas de violation, suppression, perte, modification des données ou accès ou divulgations non autorisés des données suite à une violation de sécurité, le médecin a une obligation d’en établir un rapport et de notification à la CNIL sous 72h et aux personnes concernées dans les meilleurs délais.

Si la violation de données engendre un risque élevé pour les droits et libertés des patients concernés, sur demande de la CNIL ou à l’initiative du médecin, il convient de communiquer dans les meilleurs délais à la personne concernée cette violation, excepté si les données avaient été chiffrées rendant impossible leur lecture, ou si des mesures ultérieures prises garantissent que le risque élevé n’est plus susceptible de se matérialiser.

Cette communication doit intervenir individuellement ou, si cela exige des efforts disproportionnés, par une communication publique. Elle contient, a minima, les éléments suivants : nom et coordonnées du contact de votre cabinet, conséquences probables, mesures prises ou à prendre pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Il convient par ailleurs d’inscrire cette violation de données à caractère personnel. Cette inscription peut se faire dans un registre spécifique.

Dans l’hypothèse d’une rancongiciel, il est important de ne pas céder à la demande de rançon et en toutes hypothèses, de contacter le plus rapidement possible, son assurance de responsabilité professionnelle pour l’informer de l’incident et obtenir une aide juridique.

Attention, si l’incident a eu lieu au sein d’établissements de santé, d’hôpitaux des armées, de laboratoires de biologie médicale ou de centres de radiothérapie, la structure doit également notifier l’incident à l’Agence Régionale de Santé compétente.

Pour conclure et face au développement des cyber-attaques dans le domaine de la santé, il est fortement recommandé de vérifier le niveau de sécurité de son cabinet et de vérifier auprès de votre compagnie d’assurance que vous êtes bien couverts au titre des risques de cyber-attaques.

Lire la suite
Cette publication peut également vous intéresser.

Téléchargez notre guide de l'exercice en groupe

Exercice professionnel des médecins libéraux

le 07/01/2021

Vous trouverez type: asset-hyperlink id: 4Hcp6JGj26WHmDGuViuin9ci-dessous un lien pour télécharger notre guide de l'exercice en groupe.

À propos du Cabinet
Le Cabinet AUBER a été créé en 2003 à l’initiative de Philip COHEN et Marie-Christine DELUC, avocats qui exerçaient dans des domaines distincts mais complémentaires.
Dans le domaine du droit de la santé, Avocat des principaux syndicats de médecins libéraux, généralistes ou spécialistes (CSMF, SNARF, FNMR, FFMKR…), et avocat référent du Cabinet BRANCHET, le Cabinet AUBER accompagne, conseille et défend les médecins dans tous les domaines concernant leur exercice professionnel.
Nos compétences
Avocats associés