Imprimer: Cybersécurité des données de santé : entrée en vigueur du dispositif de déclaration des incidents de sécurité. Par Marion Barbezieux, Avocat.

Village de la Justice www.village-justice.com

Cybersécurité des données de santé : entrée en vigueur du dispositif de déclaration des incidents de sécurité. Par Marion Barbezieux, Avocat.

Parution : jeudi 26 octobre 2017

Adresse de l'article original :
https://www.village-justice.com/articles/renforcement-des-contraintes-cybersecurite-des-donnees-sante-entree-vigueur,26274.html
Reproduction interdite sans autorisation de l'auteur.

Les établissements de santé sont fréquemment la cible d’opérations de cyberterrorisme. Si la France n’a pas encore connu d’attaque de grande ampleur, les pirates ont eu raison des systèmes d’information d’un hôpital américain en février 2016, et d’une dizaine d’établissements de santé britanniques en mai 2017. Un ransomware avait paralysé ces établissements en bloquant et rendant illisibles leurs fichiers dans l’attente du versement d’une rançon.

Les ravages causés par ces actes de malveillance sont considérables : au-delà de la gestion économique de l’établissement, c’est toute l’organisation des soins qui se trouve bouleversée et la vie des patients qui est mise en danger.

A la menace grandissante des techniques de piratage de plus en plus perfectionnées s’ajoutent les risques sécuritaires inhérents à une santé qui se digitalise. La dématérialisation des données de santé et l’interconnexion des systèmes d’information des acteurs de santé accroît nécessairement l’exposition de ces systèmes aux dysfonctionnements et failles de sécurité. La sécurisation des systèmes d’information (SI) des établissements de santé devient de facto une préoccupation majeure.

Dans ce contexte, la récente mise en place du dispositif de signalement des incidents graves de sécurité des SI de certaines structures de santé, instauré par la Loi de modernisation de notre système de santé du 26 janvier 2016 [1], est bienvenue.
Depuis le 1er octobre 2017, les établissements et organismes de santé concernés par le nouveau dispositif de signalement doivent ainsi déclarer les incidents de sécurité auxquels ils sont confrontés via un « portail de signalement des évènements sanitaires indésirables » accessible à l’adresse https://www.signalement.social-sante.gouv.fr.

Qui doit déclarer ?

Vous êtes concernés par ce dispositif si vous êtes :

un établissement de santé ;
un hôpital des armées ;
un centre de radiothérapie ;
un laboratoire de biologie médicale.

Quels incidents déclarer ?

Vous devez systématiquement déclarer sans délai les actions ou suspicions d’actions malveillantes ayant des conséquences potentielles ou avérées sur :

la disponibilité totale ou partielle de votre SI ; la disponibilité, l’intégrité ou la confidentialité des données de santé que vous traitez ;
le fonctionnement normal de votre établissement, et notamment la prise en charge des patients et la sécurité des soins.

Pour s’assurer de la bonne exécution de cette nouvelle obligation de déclaration, les structures de santé pourront se faire accompagner par l’ASIP Santé, logiquement chargée de la mise en œuvre du dispositif de signalement.

A cette fin, l’ASIP Santé a créé en son sein une Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS) dédiée au traitement des incidents.

Cette cellule ACSS a vocation à intervenir :

pour prévenir les failles de sécurité, en sensibilisant et informant les acteurs concernés sur les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Un espace documentaire et une cyber-veille sur les vulnérabilités des matériels et logiciels du secteur santé est ainsi mise à leur disposition via un portail dédié (https://www.cyberveille-sante.gouv.fr/) ;
pour réagir aux failles de sécurité, en réceptionnant les signalements, en aidant à la qualification de la criticité de l’incident, et au besoin, en accompagnant la structure pour la gestion de l’incident.

Ce nouveau dispositif, qui s’inscrit dans la continuité de l’élargissement du champ de l’obligation de notification des failles de sécurité par le Règlement Européen sur la protection des données personnelles, poursuit des objectifs multiples [2]. Il vise à partager des bonnes pratiques pour éviter la survenance de failles, à alerter plus efficacement les acteurs en cas de menace et à renforcer le suivi des incidents dans les structures de santé.

Surtout, il participe au mouvement de renforcement de la cybersécurité des données de santé, en ajoutant une brique supplémentaire aux corpus de contraintes sécuritaires s’imposant aux responsables de traitement de données de santé.

Rappelons à ce titre que ces derniers ont déjà l’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé – et, à partir du 1er janvier 2019, à un tiers hébergeur certifié HDS [3]. Ils sont encore tenus de respecter les exigences générales et principes fondamentaux de sécurité des SI de santé définis par l’ASIP Santé au sein de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).

Pour être efficace, le renforcement des contraintes de cybersécurité doit encore être couplé à une responsabilisation des acteurs du secteur. Tandis que les établissements de santé doivent adopter une démarche sécuritaire globale, tant sur le plan physique, logique, qu’organisationnel, les professionnels doivent prendre conscience de l’importance de préserver la sécurité du système (et notamment d’assurer la confidentialité de leurs identifiants) et adopter des automatismes en la matière. Les patients ne sont pas en reste : à eux de contrôler la mise en circulation de leurs données, notamment au profit des géants du numérique.

La sécurité informatique apparaît ainsi comme l’enjeu premier de la transformation numérique en matière de santé, où chacun à un rôle à jouer.

Marion Barbezieux Avocat à la Cour SEA AVOCATS marion.barbezieux@sea-avocats.com

[1] Article L.1111-8-2 Code de santé publique.

[2] Le Règlement Européen impose à tout responsable de traitement de notifier à l’autorité de contrôle compétente (la CNIL) toute violation de données à caractère personnel, dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques (article 33). Le responsable de traitement devra également informer individuellement les personnes physiques concernées par une faille de sécurité dans les meilleurs délais lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés de cette personne (article 34).

[3] L’ordonnance n°2017-27 publiée le 12 janvier 2017 remplace, à compter du 1er janvier 2019, la procédure d’agrément délivrée par l’ASIP Santé par une procédure de certification par un organisme certificateur indépendant. Le changement de procédure renforce le niveau de sécurité des services d’hébergement de données de santé : les certifications ne sont délivrés qu’à l’issue d’un audit tant documentaire que sur site, sur la base d’un référentiel internationalement reconnu (ISO 27001 dans son intégralité, exigences issues de l’ISO 20000, de l’ISO 27018 et des exigences spécifiques santé). Elle offre ainsi davantage de confiance face à un agrément basé sur un audit déclaratif.