Le 23 septembre 2022, le groupe de hackers russophones Lockbit 3.0 a divulgué 11 Go de données sensibles tels que des examens médicaux issus du centre hospitalier Sud Francilien de Corbeil-Essonnes (CHSF).

Cette divulgation est la conséquence de la cyberattaque dont a été victime l’établissement de santé le 21 août 2022. A travers la technique du ransomware, les hackers avaient demandé la remise d’une rançon de 10 millions de dollars avant le 23 septembre 2022 sous peine de divulgation des données sensibles enregistrées par les services informatiques de l’hôpital. Le CHSF a décidé de ne pas céder à ce chantage

Cette attaque n’est pas inédite puisqu’elle fait suite à une série de cyberattaques visant les établissements de santé. En 2021, selon le rapport 2021 [1] de l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé, 582 établissements ont déclaré 733 incidents liés à des cyberattaques soit pratiquement le double par rapport à 2020. Ce bilan semble être similaire pour l’année 2022.

En effet, ce phénomène ne semble pas s’estomper puisque deux hôpitaux situés en Ardennes ont récemment été victimes de cyberattaques : l’hôpital de Manchester le 3 octobre 2022 et l’hôpital psychiatrique de Belair le 30 septembre 2022. Toutefois, malgré cette intrusion, aucune demande de rançon n’a été formulée.

Quel est le régime de protection des données de santé ?

En vertu du considérant 35 du Règlement général sur la protection des données (ci-après « RGPD »), les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée.

Ces données dites « sensibles » font l’objet d’un régime de protection particulier prévu par la loi informatique et libertés, le RGPD et le Code de la santé publique :
 principe : il est interdit de traiter les données relatives à la santé (article 9-I du RGPD et article 6 de la loi informatique et libertés) ;
 exception : l’article 9.2 du RGPD prévoit des motifs pour justifier le traitement de données relatives à la santé (médecine préventive, diagnostics médicaux, prise en charge sanitaire ou sociale ou gestion des systèmes et services de soins en santé ; motif d’intérêt public dans le domaine de la santé publique ; consentement explicite…).

De plus, les responsables de traitement sont soumis à une obligation de sécurité prévue par la loi du 6 août 2004 n°2004-801 et le RGPD. Les responsables de traitement sont tenus de mettre en place les mesures techniques et organisationnelles pour protéger les données des utilisateurs contre la perte accidentelle, l’altération, la destruction illicite, la diffusion ou l’accès non autorisé des données ou toute autre forme de traitement illégal.

Ainsi, le traitement de données personnelles par les professionnels de santé [2] est particulièrement encadré notamment par les certifications ISO 27 001 (gestion de la sécurité de l’information), ISO 27002 (contrôle de la sécurité de l’information) et ISO 27799 (technologie de l’information dans la santé) relatives à la sécurité informatique des opérations hospitalières.

Les conséquences d’une cyberattaque des établissements de santé.

Sur sa page destinée aux risques cyber [3], le gouvernement définit une cyberattaque comme « une atteinte à des systèmes informatiques réalisée dans un but malveillant ».

Les cyberattaques des établissements de santé sont facilitées en raison de l’obsolescence de leurs systèmes informatiques. En effet, il y a un décalage certain entre les obligations théoriquement prévues par la loi informatique et libertés et le RGPD en matière de protection des données et ce qui est réellement mis en place en pratique.

Pour le patient, les conséquences d’une fuite de données de santé sont assez préjudiciables : atteinte au droit au respect de la vie privée, vente des données sensibles sur le dark net, usurpation d’identité, etc.

Pour l’établissement de santé de Corbeil-Essonnes, la cyberattaque a entraîné une désorganisation importante de l’hôpital (par exemple, atteinte au dossier patient informatisé, transferts de patients).

Les conséquences auraient pu être plus importantes, comme cela a été le cas lors de la cyberattaque de la clinique universitaire de Düsseldorf en Allemagne qui a entraîné le décès d’une patiente.

Les conséquences d’une cyberattaque d’un établissement de santé sont donc particulièrement importantes en matière de protection des données de santé et de protection des personnes.

En conséquence de la cyberattaque de l’hôpital de Corbeil-Essonnes, François Braun, ministre de la Santé et de la Prévention et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications ont annoncé le déblocage de 20 millions d’euros supplémentaires pour accompagner les établissements de santé dans le renforcement de leur cybersécurité.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail : [->debora.cohen@dcavocat.com] Site : https://www.dcavocat.com/