LE QUOTIDIEN : 27 cyberattaques d’hôpitaux en 2020, une par semaine en 2021 ! Comment expliquez-vous ces multiples failles ?
BENJAMIN VIALLE : Les établissements ont principalement fait face à des attaques par rançongiciel, qui touchent malheureusement aussi bon nombre d’entreprises. On peut néanmoins s’interroger sur le niveau de sécurité des systèmes d’information hospitaliers. En cette matière, on fait référence à trois critères, tous très importants : la disponibilité des données, leur intégrité et leur confidentialité.
Les conséquences de ces cyberattaques peuvent être très graves même si les hôpitaux peuvent toujours fonctionner de manière dégradée, sans informatique. La plupart des établissements élaborent des plans d’amélioration, dans le cadre de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) prônée depuis 2012 par le ministère de la Santé. Elle vise à donner un cadre commun de niveau de sécurité avec des référentiels et des guides de bonnes pratiques.
Le plan annoncé en février par Emmanuel Macron sur la cybersécurité des systèmes sensibles vous paraît-il suffisant ?
HÉLÈNE GUIMIOT-BRÉAUD : Il est en tout cas particulièrement conséquent avec un budget non négligeable (un milliard d’euros dédiés à la cybersécurité dont 350 millions d’euros au renforcement de la sécurité des systèmes d’information de santé, NDLR). Il confirme que la sécurité des données de santé est identifiée comme un sujet crucial.
La primauté de cette thématique est liée au développement de l’usage du numérique dans le secteur de la santé avec, notamment, la feuille de route numérique Ma santé 2022. Le développement d’outils nécessite de penser à l’aspect sécurité et à la protection des données.
Comment les données médicales de 500 000 personnes en France, provenant d’une trentaine de laboratoires médicaux, ont pu être volées puis circuler sur internet fin février ?
B. V. : Je ne peux pas donner les conclusions de l’enquête qui est en cours à la CNIL. Mais de fait, les données de ces patients n’ont pas été suffisamment protégées et ont été récupérées par des personnes dont les intentions n’étaient pas louables. Elles ont été partagées sur un forum plus ou moins caché afin d’être revendues et utilisées certainement à des fins malveillantes. Finalement, ces données étaient quasiment récupérables par n’importe quel internaute aguerri ! Début mars, la CNIL a obtenu du tribunal judiciaire de Paris une décision d’urgence inédite demandant aux fournisseurs d’accès à internet de bloquer le site qui hébergeait le fichier de données, ce qui a permis d’en limiter la diffusion ultérieure. Nous avons également veillé à ce que les labos en informent les personnes concernées dans les plus brefs délais.
Vous avez sanctionné, en décembre dernier, deux médecins libéraux « pour avoir insuffisamment protégé les données personnelles de leurs patients » et ne pas vous avoir notifié une violation de données. Était-ce une première ?
B. V. : À ma connaissance c’était effectivement la première fois. À la suite d’un contrôle en ligne, nous avons pu établir qu’il était possible d’accéder sans authentification à des données personnelles et médicales des patients de deux médecins libéraux. Et lors d’auditions de contrôle, ils ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box internet et un mauvais paramétrage de leur logiciel d’imagerie médicale. Par ailleurs, leurs données n’étaient pas conservées sur des oridinateurs chiffrés. Le critère de confidentialité n’a donc pas été satisfait. Le deuxième point, c’est que s’apercevant de cette violation, ils auraient dû en informer la CNIL.
Rendues publiques, ces amendes de 3 000 et 6 000 euros ont-elle valeur d’exemple ?
B. V. : La formation restreinte de la CNIL (chargée de prononcer les sanctions, NDLR) n’a pas divulgué le nom des deux médecins. Mais oui, en communiquant sur ce thème, la CNIL a souhaité rappeler à tous les médecins leur obligation d’assurer la sécurité des données à caractère personnel des patients qu’ils traitent. Même si nous avons bien conscience que ce ne sont pas des professionnels du numérique, les médecins doivent être vigilants vis-à-vis de ces données sensibles. Charge à eux de se faire assister si besoin pour assurer la sécurité de leur système d’information.
H. G.-B. : J’ajoute que nous avons produit, en lien avec le conseil national de l’Ordre des médecins, un guide avec des fiches pratiques sur le recours à des plateformes de prise de rendez-vous en ligne ou sur la façon de sécuriser les dossiers médicaux. Nous avons également publié un référentiel sur les traitements de données à caractère personnel mis en œuvre par les cabinets médicaux et paramédicaux. Quand on parle du niveau de sécurité, les exigences ne sont évidemment pas les mêmes pour un médecin libéral que pour un établissement public comme l’AP-HP.
B. V. : Le minimum que la CNIL exigera du médecin, c’est que son ordinateur soit chiffré. Les données contenues ne peuvent y être lisibles qu’avec une clé de déchiffrement, qui peut être un mot de passe. Si le médecin perd son ordinateur, on est assuré que personne d’autre ne pourra y accéder. C’est quelque chose de relativement simple à mettre en place et qui assure déjà un premier niveau de sécurité.
Plusieurs syndicats de médecins se sont inquiétés de l’utilisation, par Doctolib*, des services d’hébergement du géant Amazon. Y a-t-il un danger ?
H. G.-B. : Ces discussions interviennent après une décision de la Cour de justice de l’Union européenne, en juillet dernier, qui porte sur les transferts de données vers les États-Unis (l’arrêt Schrems II, NDLR). En résumé, on considère que les États-Unis ne présentent pas un niveau de sécurité suffisant et adéquat pour transférer des données à caractère personnel. La question est encore plus prégnante quand il s’agit de données de santé.
La question de l’hébergement du Health Data Hub, plateforme française destinée à croiser les bases de données de santé existantes, s’est également posée…
H. G.-B. : Oui, il y a effectivement eu la question du recours à Microsoft. C’est pour cette raison que le Conseil d’État a été amené à se prononcer en octobre et a demandé des garanties supplémentaires. Le gouvernement a d'ailleurs fait part à la CNIL de sa volonté de transférer le Health Data Hub sur des plateformes françaises ou européennes.
La pandémie a fait émerger de nouveaux outils numériques tels que l’appli StopCovid ou l’usage de caméras intelligentes que la RATP va expérimenter pour observer le port du masque. Comment jugez-vous ces outils ?
H. G.-B. : Tout d’abord, ces outils ne peuvent être déployés que si leur utilité pour la gestion de la crise est avérée, et si un certain nombre de garde-fous sont apportés. Ces dispositifs doivent être temporaires. Bien évidemment, les données sont aussi conservées dans une certaine limite de durée.
Une vigilance particulière doit s’instaurer par rapport au solutionnisme technologique. Tous ces usages doivent être évalués régulièrement pour s’assurer de leur intérêt et de leur intégration dans un dispositif global. Au-delà de la conformité à la loi et de la sécurité des données, la CNIL n’a pas la compétence d’apprécier leur intérêt scientifique et médical. On ne peut qu’appeler de nos vœux que cette évaluation soit faite en toute transparence.
Vous avez annoncé que vos contrôles 2021 viseront davantage la sécurité des données de santé. En quoi consiste cette surveillance ?
B.V. : La thématique de la sécurité des données de santé avait déjà été identifiée comme une priorité de la CNIL en 2020. Nos contrôles concerneront également la gestion de la violation des données personnelles dans les établissements de soins et les plateformes de prise de rendez-vous médicaux en ligne.
Concernant le dossier patient informatisé, la question est de savoir qui sont les personnels autorisés à y accéder dans une structure de soins. Et de fait, parmi les contrôles déjà réalisés, on constate des lacunes : très souvent les dossiers patients informatisés sont mal configurés ou trop ouverts. Les contrôles aboutiront probablement à des recommandations voire à des mesures correctrices.
*Dans sa décision du 12 mars, le Conseil d’État a refusé de suspendre le partenariat entre le ministère de la Santé et Doctolib pour la gestion des rendez-vous de vaccination contre le Covid-19, estimant que les données recueillies ne comprenaient pas de données de santé et que des garanties avaient été mises en place pour faire face à une éventuelle demande d’accès par les autorités américaines.