Nous sommes tous en droit d’attendre qu’un soin tout particulier soit apporté à la sécurité de nos données de santé, notamment dans les hôpitaux.
Malheureusement, de nombreux établissements de santé ont été victimes de piratages au cours des dernières années.
Dernier épisode en date, l’hôpital de Corbeil-Essonnes a fait l’objet d’une cyberattaque le 21 août dernier, qui avait privé le personnel médical de nombreux outils informatiques.
Que s’est-il passé ?
Les hackers avaient utilisé un rançongiciel (c’est-à-dire un virus qui chiffre l’ensemble des données des systèmes informatiques) et promettaient de rendre l’accès aux données en échange du paiement d’une certaine somme.
Dans le cas contraire, les hackers menaçaient de diffuser les données des patients sur l’internet, ce qui s’est finalement passé le 24 septembre 2022.
Les cyberattaques et fuites de données de santé sont de plus en plus fréquentes et comportent de nombreux risques pour les personnes concernées qui peuvent notamment être victimes d’usurpation d’identité ou de phishing.
Or, les responsables de traitements ont l’obligation d’appliquer des mesures permettant d’assurer la sécurité des données et d’adapter les mesures de sécurité au regard du type de données traitées et des risques pesant sur les personnes concernées. Compte tenu du caractère sensible des données de santé, les mesures de sécurité à appliquer doivent être renforcées afin de limiter tout risque d’accès, modification, destruction ou divulgation des données.
Si les mesures de sécurité ont été insuffisantes pour prévenir une atteinte aux données et une fuite, il est ainsi impératif de savoir comment réagir dans une telle hypothèse.
Comment réagir face à une fuite de données ?
Une fuite de données de santé, qu’elle soit accidentelle ou intentionnelle, constitue une violation de données.
Le responsable du traitement, face à une telle fuite, doit impérativement prendre toutes les mesures nécessaires pour remédier à la violation, l’endiguer, et limiter ses conséquences négatives.
Il doit également (i) notifier la CNIL au plus tard dans les 72 heures de la prise de connaissance de cette violation, (ii) informer les personnes concernées de cette violation s’il en résulte un risque élevé pour leurs droits et libertés, ce qui peut être le cas face à une fuite de données de santé et (iii) documenter toute la violation de données.
Lorsque le sous-traitant constate cette violation de données, il a l’obligation d’en informer le responsable du traitement dans les meilleurs délais, et de l’assister dans ses démarches de notification de la CNIL et d’information des personnes concernées.
Evidemment, les risques liés à la protection des données doivent être traités en amont. Il est recommandé d’établir une politique de sécurité du système d’information comportant des mesures robustes et de réaliser régulièrement des audits de ces mesures. La CNIL liste des bonnes pratiques pour limiter les risques de cyberattaques par rançongiciel.
L’investissement dans la cybersécurité est ainsi indispensable, notamment à l’heure où le système de santé se numérise.