Dans un monde en constante évolution, il est inévitable de tendre vers la numérisation de nos hôpitaux, notamment en cette période de crise sanitaire.
En effet, la Covid a été un accélérateur du développement numérique au sein des centres hospitaliers, le but étant de mettre en place des outils numériques permettant de faciliter le travail des soignants durant cette pandémie. Assurément, la technologie permet une facilitation du quotidien. La classification des données devient alors plus simple et plus claire. Pourquoi passer des heures à classer, trier et chercher des dossiers lorsque nous avons la possibilité de le faire en un clic depuis notre ordinateur ? En parallèle, l'utopie du zéro papier se rapproche de plus en plus grâce aux dossiers patients informatisés (DPI). Celle-ci entraîne de plus une meilleure efficacité et le risque d'erreurs manuelles se voit fortement amoindri.
Ainsi, nous faisons face depuis quelque temps à la généralisation de l'utilisation du SIH (Système d'Information Hospitalier).
Toutefois, comme toute bonne chose, le système d'information de santé a ses limites. En effet, avec la multiplication des cyberattaques, les hôpitaux ont tout intérêts à limiter les risques et entrer dans la conformité RGPD. Ces derniers sont devenus la cible numéro un des hackers dû à la crise de la Covid. Au mois de Mars, pas moins de trois hôpitaux français ont subi des attaques : ceux de Dax, Oloron-Sainte-Marie et Villefranche-sur-Saône.
"La cyberattaque affecte la plupart des données liées aux informations de santé des patients, ce qui pourrait entraîner le report de certaines interventions" selon Le Monde
Ainsi, en cas de cyberattaque, le DSI (Directeur des Services Informatiques) va devoir prendre des mesures bien précises :
- La protection de données : Les données à caractère personnel manipulées par les établissements de santé sont des données dites "sensibles" par l'article 9 du RGPD, c'est pourquoi leur protection se doit d'être renforcée.
- Sauvegarder les données : La sauvegarde des données est essentielle, ainsi le responsable de traitement des données de santé doit être conforme à l'article 32 du RGPD, prévoyant des mesures techniques à mettre en oeuvre afin de garantir la protection des données. En effet, des sauvegardes régulières doivent être effectuées car lors d'une cyberattaque, notamment dans le milieu médico-social, la prise d'otage de certaines données peut s'avérer extrêmement coûteuse en terme de temps et de revenus, comme nous avons pu le constater à l'hôpital d'Oloron-Sainte-Marie.
- Savoir reconnaître une cyberattaque : Comme vous pouvez le lire dans l'article 4 du RGPD, la violation de données à caractère personnel peut prendre différentes formes. La cyberattaque n'est pas forcément définie comme une divulgation de données mais peut-être définie par une destruction ou une perte des données. Ainsi, dans ces deux cas il est primordiale de suivre les procédures propres à la violation de données à caractère personnel.
- Documenter la cyberattaque : Afin de documenter la cyberattaque il faut fournir les informations nécessaires. Ces dernières étant spécifiées dans l'article 33 du RGPD : décrire la nature de la violation, données si possible les catégories et le nombre approximatif de personnes concernées par la violation, les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés, communiquer le nom et les coordonnées du DPO (délégué à la protection des données), décrire les conséquences probables de la violation de données à caractère personnel, et enfin, décrire les mesures prises ou que le responsable du traitement propose de prendre.
- Notifier la CNIL : "Si un piratage informatique de son réseau informatique entraîne une fuite des données à caractère personnel, l'entreprise devra en effet avertir la CNIL sous 72 heures" selon le site internet de la CNIL.
- Avertir les patients : informer les personnes concernées n'est obligatoire que lorsque la violation de données à caractère personnel "est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique" selon l'article 33 du RGPD. Toutefois, en cas de cyberattaque au sein d'un hôpital, il est fort probable que les droits et libertés des patients soient menacés. Ainsi, le responsable du traitement doit donc prévenir les patients en suivant les démarches de la documentation de la cyberattaque que vous pouvez voir ci-dessus. Par ailleurs, il est fortement recommandé de mettre en place une adresse électronique permettant aux patients de poser leurs questions.
- Impliquer un DPO : Il est obligatoire pour un organisme de désigner un Délégué à le Protection des Données lorsque des données à caractère personnel sont traitées à grande échelle selon l'article 37 du RGPD.
- Déposer une plainte : En cas de cyberattaque il est fortement conseillé de déposer plainte auprès du Parquet du Tribunal Judiciaire en détaillant le préjudice subit. Le dépôt de plainte va ainsi permettre d'identifier les responsables et de chiffre le préjudice subi par l'organisme.
- Communiquer avec les sous-traitant : Certains services numériques des hôpitaux peuvent être externalisés et gérer par des sous-traitants (voir article 4 du RGPD). Ainsi, conformément à l'article 28 du RGPD, en cas de cyberattaque, les sous-traitants se doivent de prévenir l'établissement hospitalier dans les plus brefs délais (à savoir jusqu'à 72h après sa prise de connaissance de violation de données). De plus, le ou les sous-traitants se voient dans l'obligation de rapporter au responsable du traitement tout élément utile relative à la violation de données à caractère personnel.
- Gérer la communication : La communication reste essentiel dans ces situations d'urgence. En effet, comme nous l'avons vu pour les centres hospitaliers de Dax, de Villefranche-sur-Saône ou encore d'Oloron-Sainte-Marie ces derniers temps, une cyberattaque à de lourdes conséquences sur la réputation d'un hôpital. Ainsi, il est non négligeable de mettre en place une stratégie de communication le plus rapidement possible. Au delà de ça, conformément à l'article 34 du RGPD, l'établissement se doit de tenir informer les patients concernés.
Pour plus d'informations concernant la cybersécurité ou le RGPD vous pouvez consulter le site de la CNIL : https://www.cnil.fr/professionnel
