Par Stéphane ASTIER et Olivier PREVOST
« 478 incidents de sécurité numérique ont été déclarés par les établissements de santé français[1] » depuis octobre 2017. Ce chiffre est rapporté par la cellule d’Accompagnement Cybersécurité des Structures de Santé (ACSS) en mai 2019. Mise en place par le Ministère des solidarités et de la santé, l’ACSS « récupère les signalements des incidents de sécurité sur les systèmes d’information effectués sur le portail de signalement[2] ».
La recrudescence des cas de vol de données justifie l’adoption de mesures de protection. En effet, les données de santé sont des données personnelles dites sensibles. Elles bénéficient donc d’une protection renforcée au regard du RGPD.
1. Concernant la notification à l’autorité :
En cas de fuite de données, l’article 33 du RGPD organise une notification de la violation à l'autorité de contrôle « 72 heures au plus tard après en avoir pris connaissance[3] ».
Observons que pour les établissements traitant des données de santé, il existe un dispositif juridique spécifique. Cette disposition s’applique aussi bien au secteur de la santé civile que dans celui de la santé des armées. L’article L1111-8-2 du Code de la santé publique[4], prévoit que :
« Les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l'agence régionale de santé les incidents graves de sécurité des systèmes d'information. »
Dans ce contexte l’ACSS, propose donc un portail facilitant le signalement de chaque incident grave de sécurité[5]. Ce signalement est ensuite transféré à l'agence régionale de santé compétente[6], qui le qualifiera. Si celui-ci est jugé significatif, il sera alors transmis aux autorités compétentes de l’Etat.
2. Concernant l’information des personnes concernées :
Notons qu’en cas de compromission des données de santé, il n’est pas nécessaire de révéler publiquement l’incident. Néanmoins, le responsable du traitement des données de santé doit informer la personne concernée de la violation des données[7]. Autrement dit, cela revient à prévenir le patient dans les meilleurs délais.
Cette communication n’est pas nécessaire si les données de santé volées sont anonymisées ou si cette communication exigerait des efforts disproportionnés. Bien qualifier l’incident de sécurité est donc primordial.
3. Les bonnes pratiques pour anticiper une faille de sécurité :
Anticiper cette situation peut permettre d’éviter certains écueils.
Parmi les bonnes pratiques, il est ainsi recommandé de :
- Sensibiliser les équipes au cyber risque par des formations, documents de sensibilisation ou autres dispositifs pédagogiques de mise en situation
- Mettre en place une politique de gestion des incidents qui fait partie des mesures organisationnelles et techniques prévues par le RGPD
- Organiser avec le Délégué à la Protection des Données (DPO) une procédure dédiée à la qualification juridique des incidents afin de déterminer si des notifications sont nécessaires et de piloter lesdites notifications
- Veiller à disposer d’une assurance couvrant le risque cyber
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies. Le département cybersécurité accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place de dispositifs dédiés à la gestion du risque cyber et à la protection des données. Vous voulez en savoir plus sur nos prestations dédiées à l’e-santé et à la cybersécurité ? Contactez-nous ici.
[1] Mauvaise communication en cas d’incident numérique : le risque au-delà du risque, Charles Blanc-Rolin, DSIH.fr, 28 mai 2019
[2] Agence française de la santé numérique - Accompagnement Cybersécurité des Structures de Santé
[3] Article 33 du Règlement Général sur la Protection des Données
[4] Article L1111-8-2 du Code de la santé publique
[5] Portail d'Accompagnement Cybersécurité des Structures de Santé
[6] Cela est prévu par un arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information
[7] Article 34 du Règlement Général sur la Protection des Données