Décisions administratives et judiciaires : Les établissements de santé et la cyber criminalité

Publié le 1652503593000

Nous avons choisi de vous présenter des commentaires d’arrêts de juridictions administratives et judiciaires provenant du cabinet d’avocats de Maître Olivier LECA qui a l’amabilité de collaborer avec notre revue. Il éclaire de façon différente et complémentaire l’information que nous devons apporter à nos patientes.

Dr de ROCHAMBEAU

Les établissements de santé et la cyber criminalité

Maître O. LECA*

En France, chaque jour, quatre établissements de santé seraient victimes de la cybercriminalité.

Le 15 novembre 2019, le centre hospitalier de Rouen a été la victime d’une cyberattaque massive, paralysant ainsi l’ensemble du système informatique. Mais cet évènement est loin d’être exceptionnel ! En effet, seulement trois mois avant, un groupe privé de plus de 120 hôpitaux privés, cliniques et centres de radiothérapies, a fait l’objet d’une attaque informatique, paralysant aussi les serveurs gérant les infrastructures et les messageries. Plus encore, selon un article récent, près de 90% des attaques par rançongiciel (ransomware) sur cette période ont visé des établissements de santé dans le monde. Mais si la menace semble, a priori d’ordre technique, le développement de la cybercriminalité dans les établissements de santé appelle à la compréhension de certains enjeux juridiques.

En effet, les établissements de santé, certes victimes au premier chef, ne sont pas exsangues d’une éventuelle responsabilité, et doivent, par conséquent, prendre des mesures appropriées afin de protéger les données à caractère personnel.

Ainsi, parallèlement aux mesures techniques de protetion, le management de la cybersécurité est guidé par des aspects juridiques destinés à organiser la prévention des risques et à répartir les responsabilités lorsque les attaques surviennent.

Rappel du principe juridique de sécurité informatique
Aujourd’hui, la transition numérique touche tous les secteurs d’activité de la santé, aussi bien ceux en lien direct avec la production des soins, que ceux liés aux fonctions support nécessaires au bon fonctionnement de l’hôpital.

Mais il est incontestable que les risques les plus élevés concernent les données de santé. Considérées comme des informations sensibles, elles représentent un véritable patrimoine, de plus en plus convoité, et doivent être alors soumises à un haut niveau de sécurité à la fois physique et technique.

Le traitement de ces données est encadré par le droit commun du traitement des données à caractère personnel du règlement européen sur la protection des données (article 9, RGPD), la loi Informatique et Libertés du 6 janvier 1978 (article 8, 34 et 35), ainsi que par les dispositions du code de la santé publique (CSP).

Par ailleurs, la CNIL, à travers sa doctrine d’application de la loi du 6 janvier 1978, puis, depuis mai 2018, du règlement européen du 26 avril 2016, est également productrice de normes sur les conditions de traitement donc de sécurité des données de santé.

L’ASIP santé (l’agence française de la santé numérique) élabore des référentiels de sécurité et d’interopérabilité pour les systèmes d’information de la e-santé. Il faut bien sûr y ajouter les règles de l’art en matière de sécurité informatique, dont les principes sont d’ailleurs repris par le règlement européen sur les données personnelles : assurer la disponibilité, l’intégrité, la confidentialité et la résilience des systèmes. Enfin s’agissant des conditions d’hébergement de ces données personnelles, l’article L.1111-8 du Code de la santé publique en pose les principes. Ainsi, les données de santé doivent être hébergées auprès d’hébergeurs agréés ou certifiés par un organisme accrédité par le Comité français d’accréditation (COFRAC) (décret n°2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel).

Ce décret définit les conditions de certification des hébergeurs, organise la procédure et fixe le contenu du dossier qui doit être fourni à l’appui de la demande. L’hébergement de données personnelles de santé à caractère personnel sans agrément est puni de trois ans d’emprisonnement et de 45 000 € d’amende (article L. 1115-1 du CSP).

Enfin, il est interdit de procéder à une cession ou à une exploitation commerciale des données de santé (article L. 4113-7 du CSP).

1 - Les enjeux d’une sécurité informatique effective
Dans le secteur de la santé, les incidents liés à la sécurité des systèmes d’information peuvent avoir un impact direct sur la sécurité des soins ou le secret médical. Ils peuvent également avoir un impact économique important.
La prise en compte des aspects juridiques de la cybersécurité se traduit dans l’anticipation des mécanismes de responsabilité pour pouvoir la limiter et la répartir efficacement.

Responsabilité pénale
Elle concerne toutes les infractions liées au défaut de protection suffisante.
L’article 34 de la loi de 1978 sanctionne en particulier d’une amende pouvant atteindre 300.000 euros et de cinq années d’emprisonnement les manquements aux précautions de sécurité par le responsable du traitement des données lorsque des tiers non autorisés ont pu y accéder.
La même sanction est encourue en cas de défaut de notification à la CNIL d’une violation de données à caractère personnel. De nature assimilable à la sanction pénale, la CNIL pourra également prononcer, des amendes administratives qui pourront atteindre 4% du chiffre d’affaires hors taxe mondial consolidé.

Responsabilité civile
Quelle soit contractuelle ou délictuelle, elle couvre la réparation des dommages causés ou rendus possibles par l’insuffisance de protection par la personne qui était en charge de l’assurer. Les dommages sont eux-mêmes de nature variée.

Préjudice patrimonial
Une attaque peut engendrer différents coûts de réparation : pour payer la rançon nécessaire à la récupération des données et/ou pour remédier à la faille de sécurité et/ou pour faire face aux sanctions financières (amendes, indemnisation).
Le détournement de données peut également affecter leur valeur économique dans le cadre d’une exploitation à des fins de recherche ou statistique. Mais il peut également être à l’origine d’une diminution de l’indemnisation de l’organisme qui se trouve à la fois victime de l’intrusion et défaillant dans la préservation de la sécurité dont il a la charge.
Les juridictions ont ainsi, à plusieurs reprises, été conduites à réduire le montant des dommages et intérêts en raison des failles de sécurité (par ex. TGI Paris, 21 février 2013), voire à relaxer l’auteur des faits (T. corr. Créteil, 23 avril 2013).

Préjudice moral
L’article L. 1110-4 du code de la santé publique protège expressément le droit au respect de la vie privée et au secret des informations concernant chaque patient, y compris pour les données qui ne concernent pas sa santé. Mais on peut également souligner l’enjeu de la réputation des établissements victimes.

Préjudice corporel
La compromission des données peut avoir un effet sur les soins eux-mêmes et provoquer un dommage corporel.
En effet, la dispensation des soins, mais également la prévention et le suivi sanitaire, reposent sur les données disponibles dont la croissance est alimentée par les objets connectés de santé tels que les robots soignants.

2 - Des obligations de sécurité et de confidentialité des données pesant sur les professionnels de santé
Le Code de la santé publique soumet le traitement des données personnelles de santé à des obligations renforcées de sécurité, de confidentialité et d’information de la personne concernée.

En d’autres termes, les professionnels et établissements de santé sont ainsi légalement tenus de préserver la sécurité et la confidentialité des données de leurs patients. En outre, il convient de rappeler que toutes les données personnelles de santé traitées par un professionnel de santé ou tout professionnel intervenant dans le système de santé sont protégées par le secret professionnel.

Le Code de la santé publique dispose, en outre, que toute personne prise en charge par un professionnel ou un établissement de santé, a droit au respect de sa vie privée et au secret des informations la concernant. Les profession nels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4).

Le Code de la santé publique impose aux professionnels de santé le respect de référentiels de sécurité. En pratique, ces professionnels doivent prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Ils sont donc tenus de mettre en œuvre :

  • des mesures de sécurité physique par un accès contrôlé aux locaux hébergeant les serveurs et par la mise en œuvre d’une procédure d’habilitation permettant de restreindre l’accès aux seules personnes habilitées, et
  • des mesures techniques par la protection des serveurs par des firewalls, filtres anti-spam et anti-virus, l’accès aux postes de travail par des mots de passe individuels et régulièrement renouvelés, l’utilisation de la carte de professionnel de santé pour accéder aux données, le chiffrement des données, etc.

3 - La mise en œuvre de la sécurisation des données de santé

A - L’utilisation des moyens offerts par les acteurs publics
La direction générale de l’offre de soins du ministère des Solidarités et de la Santé propose un mémento de cybersécurité à l’usage du directeur d’établissement de santé. La CNIL rappelle, sur son site, aux professionnels les précautions élémentaires à mettre en œuvre pour être en conformité avec la réglementation.

L’ANSSI met en ligne des guides et recommandations pour sensibiliser aux bonnes pratiques de sécurité numérique. Si ces mesures d’hygiène préconisées par l’ANSSI étaient mieux suivies, la quasi-totalité des menaces serait évitée selon l’agence.

L’ASIP, Agence française de la santé numérique a également développer un portail de cyber veille.

B - La sensibilisation du personnel
Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux directeurs d’établissements de santé, publics comme privés, de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de formation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel. L’absence de déploiement de mesures de sécurité technique ou la négligence dans le déploiement de mesures adaptées sont considérées comme des atteintes graves à la protection de la vie privée des personnes et sont sanctionnées pénalement (jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende - article 226-17 du Code pénal). La violation du secret médical est punie d’un an d’emprisonnement et 15.000€ d’amende.

C - L’organisation des rapports contractuels avec les tiers
La sécurisation juridique et l’allocation des responsabilités en fonction des rôles de chacun des intervenants sur les systèmes d’information et les flux de données se traduisent dans les rapports contractuels.

L’utilisation de plateformes, le recours à l’hébergement, la sous-traitance de certaines prestations et plus généralement la circulation d’informations impliquent des rapports contractuels dans lesquels les responsabilités peuvent et doivent être définies.

Le principe de la liberté contractuelle permet aux parties de circonscrire le champ des responsabilités. Le risque est évidemment que certaines responsabilités ne soient pas couvertes, qu’elles ne soient pas assurées, ou qu’elles le soient par des parties qui ont été contraintes de les accepter alors qu’elles ne sont ni techniquement en mesure de les assumer ni financièrement capables d’en répondre.

En cas d’externalisation - Le recours à la sous-traitance pour certains traitements de données ou leur hébergement, ne décharge pas les professionnels de santé de leurs obligations, comme le rappelle la CNIL. L’externalisation est entendue comme la sous-traitance à un prestataire tiers de certains types de traitements sur les données ou l’hébergement des données. Ces prestations restent soumises aux mêmes obligations de sécurité et de confidentialité. L’établissement de santé, considéré comme le responsable du traitement, doit donc s’assurer que son sous-traitant agit en conformité avec les obligations légales.

La sous-traitance - Le professionnel ou l’établissement de santé peut décider d’externaliser une partie du traitement des données des patients. Dans ce cas, le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité telles que prévues par la loi.

A ce titre, le contrat conclu entre le sous-traitant et le professionnel de santé doit détailler les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

L’hébergement de données de santé par un tiers En cas d’hébergement par un tiers, le professionnel ou l’établissement de santé devra s’assurer que le prestataire met en œuvre des mesures de sécurité suffisantes. A ce titre, le professionnel de santé doit faire héberger les données de ses patients chez un prestataire agréé par le ministre chargé de la santé, conformément aux articles L.1111-8 et R.1111-9 du Code de la santé publique.
L’obtention de l’agrément est soumise à la mise en œuvre de solutions techniques, d’une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées, et d’une politique de confidentialité et de sécurité. L’hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l’intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.

La prestation d’hébergement fait l’objet d’un contrat avec le professionnel ou l’établissement de santé, détaillant notamment les prestations fournies et les modalités d’accès aux données.

4 - Des risques de sanction
Malgré ces obligations fortes, de nombreux professionnels et établissements de santé peinent à se mettre en conformité avec la réglementation. Les professionnels des milieux hospitaliers (médecins, infirmiers, etc.), par exemple, ne sont pas toujours informés ni sensibilisés aux règles particulières devant être respectées en matière de sécurité des données.

Des données de santé de patients identifiés sont régulièrement accessibles par des sous-traitants intervenant en milieu hospitalier ou dans des laboratoires d’analyses, ou ont même été rendues accessibles en ligne, par simple négligence.

A titre d’illustration, la CNIL, par une délibération du 25 septembre 2013, a mis en demeure publiquement le centre hospitalier de Saint-Malo pour non-respect de la confidentialité des données.

La CNIL prononce régulièrement des sanctions administratives, avec des montants plus élevés, à l’encontre de responsables de traitements qui n’ont pas respecté l’obligation de sécurité et de confidentialité.

Ainsi, le 18 juillet 2019, elle a prononcé une sanction de 180.000€ eu égard à la protection insuffisante des données des utilisateurs d’un site web.
La CNIL prend toutefois en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de l’autorité de contrôle. Cette prise en compte peut avoir une conséquence plus lourde en cas de passivité de la société.

Le 28 mai 2019, la sanction a par exemple été de 400.000€, la CNIL estimant avoir « notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. ».

Les établissements de santé ne sont pas à l’abri de ces sanctions puisque la première amende post RGPD dans l’Union Européenne a concerné un centre hospitalier ! En octobre 2018, un hôpital portugais s’est vu infliger une amende totale de 400.000€ pour la violation des principes d’intégrité, de confidentialité et de minimisation des données.

Des personnels administratifs non autorisés ou des médecins vacataires ayant quitté l’hôpital avaient accès aux dossiers des patients. La gestion des profils et habilitations pour accéder aux données des patients souffrait de graves faiblesses.

Même si cette sanction ne concerne pas un établissement français, elle est particulièrement intéressante dans le contexte actuel d’harmonisation des sanctions à l’échelle européenne.

L’obligation de se protéger de la cyber criminalité n’est pas encore qualifiable d’ « obligation de résultat », mais l’obligation de sécurité est aujourd’hui a minima une obligation de moyens renforcée.

Elle nécessite en effet que les mesures de sécurité adoptées par le responsable du traitement soient conformes à l’état de l’art et adaptées au niveau de sensibilité des informations collectées. Et il n’est pas utile de rappeler la sensibilité des données de santé.

Face aux contraintes réglementaires, légitimement élevées dans le domaine de la santé, et aux attaques de plus en plus massives, la sécurité informatique est vitale et doit être intégrée dans les priorités des établissements.

Les métiers hospitaliers sont devenus « numérico-dépendants », comme ils sont dépendants des services de biologie et de radiologie. Pourtant les budgets qui y sont consacrés restent encore trop modestes alors que chaque cyberattaque a des conséquences financières ; perte d’activité, coût d’intervention de prestataires spécialisés. Certes, la ministre des Solidarités et de la Santé souhaite « intensifier » la sécurité des systèmes d’information en santé avec la mise en place, l’année prochaine, d’un observatoire de la conformité à la doctrine e-santé et d’un service national de cybersurveillance en santé.

Les dispositifs de contrôle de conformité pour les systèmes d’information en santé, financés sur fonds publics, devraient être renforcés avec une actualisation des référentiels et des évolutions législatives.

Mais cela ne suffit pas, la mise en sécurité est l’affaire de tous et doit concerner tous les champs d’intervention. Prenons un exemple. La politique sanitaire territoriale oblige à une interopérabilité entre les systèmes d’information des acteurs (établissements de santé, EHPAD, cabinets de radiologie, laboratoires d’analyse médicale, etc). Or, trop souvent les acteurs ne s’attachent qu’à l’aspect opérationnel et négligent le renforcement des mesures de protection et de préciser dans leurs documents contractuels les responsabilités de chacun.

Article paru dans la revue “Syndicat National des Gynécologues Obstétriciens de France” / SYNGOF n°119

L'accès à cet article est GRATUIT, mais il est restreint aux membres RESEAU PRO SANTE

Publié le 1652503593000