Les responsables en cas de vols, pertes ou attaques de données

Cybersécurité santé : quel responsable en cas de vols, pertes ou attaques des données de santé ?

Face au problème de perte, accidentelle ou frauduleuse, des données de Santé, le législateur a étoffé la littérature réglementaire. Le traitement de ces données, notamment leur collecte, communication, stockage, partage ou destruction, est soumis aux dispositions éditées par la Loi Informatique et liberté et le Code de la santé publique. On assiste à la naissance de la cybersécurité santé. Dans les établissements de Santé, la responsabilité du Directeur général est engagée avec la CNIL qui veille au grain.

À l’heure de l’explosion du volume de données de santé produites avec l’informatisation aboutie des établissements et l’arrivée de l’IoT et IoMT, la cybersécurité santé est une notion que les acteurs de Santé doivent absolument maîtriser – directeurs d’établissement, soignants, direction informatique, service RH, etc. – ou du moins intégrer à leur culture. Car la nature sensible de ces informations et leur très grande volumétrie les oblige aujourd’hui à respecter certaines règles de base.

Des professionnels de Santé plus distraits que coupables

Certains professionnels de Santé se montrent effectivement inattentifs à cette problématique dans leur pratique quotidienne par manque de temps, quand d’autres ignorent totalement ces contraintes, ce qui entraîne une diffusion anarchique des données de certains patients. C’est le cas notamment de l’envoi de comptes rendus, voire d’images médicales via un canal non sécurisé. Mais il est possible, dans de rares cas encore aujourd’hui, que des données disparaissent frauduleusement, des employés mal attentionnés les séquestrant afin d’en tirer une contrepartie très lucrative. Sans compter les cyber-attaques venues de l’extérieur. La cybersécurité santé devient donc une nécessaire.

Plus d’erreurs internes que de menaces extérieures dans le secteur de la santé

Parmi les études parues sur le sujet, le Data Breach Investigations Report (DBIR), pour  2016 et 2017, a été réexploité dernièrement par Verizon afin d’en extraire les informations relatives aux données de Santé protégées (PHI – protected health information). Le 2018 Protected Health Information Data Breach Report (PHIDBR) ainsi élaboré a relevé quelques 1 368 incidents couvrant 27 pays. On y apprend par exemple que 62% des violations recensées visent le secteur de la santé Particularité du secteur : c’est la seule industrie qui recense plus d’erreurs internes et de mauvais usages que d’attaques provenant de l’extérieur. Ainsi, il a été évalué à 56% le taux de menaces internes contre 46% de menaces externes. En revanche, les données compromises sont à 79% de nature médicales. .

Côté établissement, quelles évolutions sur la sécurité des données ?

Conformément à l’Instruction du 14 octobre 2016 relative à la mise en œuvre du « Plan d’action SSI », les structures sanitaires et médico-sociales sont tenues de réaliser des actions de prévention que les Agences Régionales de Santé (ARS) doivent promouvoir localement. Des organismes comme l’Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS) sont d’ailleurs fortement sollicitées pour former les professionnels de Santé à l’hôpital, mais également en ville. De nombreux établissements ont déjà entamé les démarches. Selon la dernière étude organisée par le CLUSIF, 60% des structures ont mis en place un programme de sensibilisation à la sécurité de l’information auprès des professionnels, contre seulement 30% en 2014.

Autant de RSSI que de GHT ?

A terme, la mutualisation de l’informatique au sein des groupements hospitaliers de territoire devrait constituer une « chance » pour les établissements de réellement disposer d’un RSSI, analyse Vincent Trely, président de l’Association pour la promotion de la sécurité des systèmes d’information en santé (APSSIS) : « En partant d’une réalité où, pour 1 200 établissements on avait une quarantaine de RSSI, principalement positionnés dans les CHU, on ouvre la possibilité, avec 135 GHT, d’avoir autant de RSSI qui rayonnent depuis l’hôpital support et apportent un soutien aux établissements faisant partie du GHT ».

Des règles pour assurer la disponibilité mais aussi la confidentialité des données

Le législateur a pris également ce problème à bras le corps, au niveau européen tout d’abord, avec la publication du règlement no 2016/679, dit Règlement Général sur la Protection des Données (RGPD), un texte qui sert de base à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) en France. L’ASIP Santé a élaboré, dans ce contexte, une série de recommandations afin que les données de Santé puissent être disponibles  et partagées avec les professionnels de Santé qui participent à la prise en charge des patients, mais qu’elles restent confidentielles et traçables. L’évasion inopportune de ces données sensibles est ainsi de la responsabilité de ces mêmes professionnels, voire des établissements de Santé dans le cas de patients hospitalisés ou hébergés.

Des droits d’accès à maîtriser

C’est ainsi que la CNIL a dû intervenir en juin 2013 auprès d’un Centre Hospitalier français car elle avait constaté que des prestataires non habilités avaient accédé aux dossiers médicaux de 950 patients de cet établissement. Celui-ci les avaient mandatés pour gérer ses données PMSI et exposait ces informations à une diffusion en dehors des circuits sécurisés. L’établissement fut alors mis en demeure, le 25 septembre 2013, pour non respect de la confidentialité des données. Rappelons que le Directeur Général de l’établissement, qui est responsable des processus de sécurisation de ces données sensibles, risque, dans ce cas, jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.

Shares
Share This