Droit
0

Les défis juridiques de la cybersécurité pour la e-santé

Après l’annonce du plan destiné à sécuriser les établissements de santé contre les cyberattaques (article Ouest-France ici), la prise de conscience appelle une gestion rigoureuse de la protection des données de santé sensibles contre les différents types d’intrusions dans les système informatique. 90% des attaques ransomware (rançon à payer pour la restitution de fichiers et leur non-divulgation) auraient été dirigés contre des établissements de santé (source : étude Lexsi, 2016). Lors de la conférence Cybersécurité et e-santé au  GEM Digital Day (6 déc 2016) au cours de laquelle nous évoquions les aspects juridiques avec Nathalie Devillier, Fédérico Smith soulignait l’extrême discrétion des établissements victimes ainsi que leur impréparation face aux risques.

Parallèlement aux mesures techniques de protection, le management de la cybersécurité est guidé par des aspects juridiques destinées à organiser la prévention des risques et à répartir les responsabilités lorsque les attaques surviennent

cybersécurité santé

Prévention et management de la sécurité en matière de e-santé

La prévention prend pour point de départ l’identification des risques. A partir de cette cartographie on peut définir un système de management qui, comme le prévoit l’article 32 du règlement européen sur les données personnelles  inclut des mesures techniques et des mesures organisationnelles. Ces dernières prennent d’une part la forme d’une gouvernance interne à l’organisme considéré et une contractualisation externe de la répartition des missions et des responsabilités. Cette définition des périmètres respectifs à partir des flux de données fait d’ailleurs trop souvent défaut.

C’est notamment dans ce contexte qu’il faut également prendre en compte l’exigence de confidentialité propre à la e-santé qui se traduit dans le partage du secret professionnel (1) et la protection des données de santé (2).

  1. La protection du secret au sein des communautés de santé

Dans un parcours de soins au sein de « communautés de santé », le Code de la santé publique identifie un espace partagé d’informations dont l’aspect majeur à prendre en compte est la certification d’identité et l’habilitation des accès

Le niveau élevé de sécurisation suppose de répondre à des référentiels complexes de certification des accès et des identités établis par l’ASIP Santé. Cette complexité est souvent source de difficulté de mise en œuvre. C’est le cas pour la carte professionnelle de santé qui identifie les professionnels inscrits au répertoire partagé des professionnels de santé (RPPS) et qui, seule, doit permettre l’accès aux données. Le niveau d’exigence de ces dispositifs pose le problème récurrent des dispositifs équivalents susceptibles d’être agréés par l’ASIP. Les messageries sécurisées de santé posent le même type de difficulté.

Ce degré de protection théorique est parfois à l’origine d’une procéduralisation myope tant les usages peuvent parfois vider de leur substance ces certificats, par exemple lorsque la politique d’habilitation des accès est insuffisamment appliquée ou lorsqu’il existe des délégations d’utilisation des clés d’authentification.

Les Plans de sécurité informatique et les contrats doivent en conséquence établir des mécanismes qui organisent efficacement les pratiques et qui en assurent l’effectivité par des audits réguliers.

2. La protection spécifique des données de santé

Les données de santé sont qualifiées de « donnée sensible » par les articles 9 du règlement européen sur les données personnelles et l’article 8 de la loi de 1978. Il en découle une réglementation importante notamment destinée à garantir les conditions d’hébergement de ces données. Les lois du 4 mars 2002 (relative au droit de malade), du 21 juillet 2009 (Hôpital Patient Santé Territoires) et du 26 janvier 2016 (de modernisation de notre système de santé), ainsi que le décret du 4 janvier 2006, construisent progressivement un régime des tiers de confiance dans ce domaine. La CNIL, à travers sa doctrine d’application de la loi du 6 janvier 1978, puis, à compter de mai 2018, du règlement européen du 26 avril 2016, est également productrice de normes sur les conditions de traitement donc de sécurité des données de santé. L’ASIP santé (l’agence française de la santé numérique) élabore des référentiels de sécurité et d’interopérabilité pour les systèmes d’information de la e-santé. Il faut bien sûr y ajouter les règles de l’art en matière de sécurité informatique, dont les principes sont d’ailleurs repris par le règlement européen sur les données personnelles : assurer la disponibilité, l’intégrité, la confidentialité et la résilience des systèmes.

En pratique, le règlement apporte plusieurs innovations dans le domaine de la santé :

  • L’extension du champ d’application de la protection :

Désormais, les données sensibles sont celles relatives à la santé (entendues largement comme tout état physiologique), mais aussi toutes celles qui, n’étant pas des données de santé par nature, le sont par leur origine, c’est-à-dire celles qui sont collectées à l’occasion des services de soins.

Cette extension est d’autant plus grande que sont concernées les données permettant une identification directe ou indirecte. Or, la Cour de cassation vient de mettre fin à une controverse en jugeant que l’adresse IP est une données personnelle en ce qu’elle permet une identification indirecte (Article de Marc Rees ici)

A cet égard, la pseudonymisation ou le chiffrement, pourtant promus par le règlement européen sur les données personnelles comme des moyens de protection, ne constituent pas des moyens absolus pour sortir du champ de la protection, en tous cas dès lors qu’ils sont réversibles.

Cela signifie également que de nombreuses informations provenant d’applications de santé ou d’objets connectés de quantified self ont la nature de données personnelles de santé, ce qui implique notamment le respect des obligations propres à la sécurité des hébergeurs et la mise en question d’une certification des applications (L.-M. Augagneur, N. Martin-Teillard, Applications santé : quelle réglementation ?  P. Desmarais, Quel régime pour la m-health, Communication Commerce électronique, mars 2013, ét. 5).

Les politiques de sécurité des systèmes d’information devront nécessairement prendre en compte ces évolutions des périmètres de données à protéger particulièrement et s’intégrer à une réflexion stratégique sur les modes de traitement en fonction des modèles économiques.

  • La transition d’un principe de déclaration vers un système de conformité (compliance)

Ce principe se traduit par la documentation de leur propre conformité par les responsables de traitement, comprenant donc l’exigence de formalisation de l’efficacité des mesures de protection mises en œuvre.

Il donne également lieu au Privacy by design, c’est-à-dire à la prise en compte de l’ensemble des impératifs de protection proportionnée des données personnelles dès la conception d’un dispositif. La sécurité informatique ne devra donc pas se concevoir a posteriori, mais comme un élément du cahier des charges.

Gestion de la responsabilité

La prise en compte des aspects juridiques de la cybersécurité se traduit dans l’anticipation des mécanismes de responsabilité pour pouvoir la limiter et la répartir efficacement. En pratique les responsabilités sont de différentes natures.

  1. Responsabilité pénale

Elle concerne toutes les infractions liées au défaut de protection suffisante. L’article 34 de la loi de 1978 sanctionne  en particulier d’une amende pouvant atteindre 300.000 euros d’amende et de cinq années d’emprisonnement les manquements aux précautions de sécurité par le responsable du traitement des données lorsque des tiers non autorisés ont pu y accéder. La même sanction est encourue en cas de défaut de notification à la CNIL d’une violation de données à caractère personnel.

De nature assimilable à la sanction pénale, la CNIL pourra également prononcer, dès la mise en application du règlement européen, des amendes administratives qui pourront atteindre 4% du chiffre d’affaires hors taxe mondial consolidé

2. La responsabilité civile

Quelle soit contractuelle ou délictuelle, elle couvre la réparation des dommages causés ou rendus possibles par l’insuffisance de protection par la personne qui était en charge de l’assurer. Les dommages sont eux-mêmes de nature variée

Préjudice patrimonial. Une attaque peut engendrer différents coûts de réparation : pour payer la rançon nécessaire à la récupération des données et/ou pour remédier à la faille de sécurité et/ou pour faire face aux sanctions financières (amendes, indemnisation).

Le détournement de données peut également affecter leur valeur économique dans le cadre d’une exploitation à des fins de recherche ou statistique Mais il peut également être à l’origine d’une diminution de l’indemnisation de l’organisme qui se trouve à la fois victime de l’intrusion et défaillant dans la préservation de la sécurité dont il a la charge. Les juridictions ont ainsi, à plusieurs reprises, été conduites à réduire le montant des dommages intérêts en raison des failles de sécurité (par ex. TGI Paris, 21 février 2013), voire à relaxer l’auteur des faits (T. corr. Créteil, 23 avril 2013 )

Préjudice moral. L’article L. 1110-4 du code de la santé publique protège expressément le droit au respect de la vie privée et au secret des informations concernant chaque patient, y compris pour les données qui ne concernent pas sa santé.

Mais on peut également souligner l’enjeu de la réputation des établissements victimes.

Préjudice corporel. Une altération des données (y compris lorsqu’elles n’ont pas de caractère personnel) peut avoir un effet sur les soins eux-mêmes et provoquer un dommage corporel. La dispensation des soins, mais également la prévention et le suivi sanitaire, reposent sur les données disponibles dont la croissance est alimentée par les objets connectés de santé ou de bien-être (tension, rythme cardiaque, glycémie, etc). Dans un article récent, nous avions souligné également la diversité des risques et des responsabilités liés aux robots soignants. La cybersécurité de ces robots en fait partie de façon significative. Plus le robot est proche de l’acte de soin, voire lorsqu’il est lui-même une prothèse, plus  l’intégrité physique est menacée par une compromission de l’information.

Dans la mesure où elle est mise en œuvre dans une collaboration, un partage de missions et un échange de données, la responsabilité implique une organisation contractuelle.

3. Organisation des rapports contractuels

La sécurisation juridique et l’allocation des responsabilités en fonction des rôles de chacun des intervenants sur les systèmes d’information et les flux de données se traduisent dans les rapports contractuels. L’utilisation de plateformes, le recours à l’hébergement, la sous-traitance de certaines prestations et plus généralement la circulation d’informations impliquent des rapports contractuels dans lesquels les responsabilités peuvent et doivent être définies.

Le principe de la liberté contractuelle permet aux parties de circonscrire le champ des responsabilités. Le risque est évidemment que certaines responsabilités ne soient pas couvertes, qu’elles ne soient pas assurées, ou qu’elles le soient par des parties qui ont été contraintes de les accepter alors qu’elles ne sont ni techniquement en mesure de les assumer ni financièrement capables d’en répondre.

En matière d’hébergement de données de santé, le Comité d’agrément des hébergeurs (CAH) délivre un agrément en fonction du modèle de contrat proposé par l’hébergeur aux clients pour le compte desquels il détiendra les données et assurera leur sécurité. Sans dénier aux parties le droit de limiter les responsabilités respectives, le CAH veille à ce que les clauses soient le reflet de la répartition opérationnelle.

Le piège de la cybersécurité est de croire que la réponse à la menace est exclusivement technique. Elle est à la fois culturelle et organisationnelle. Dans les deux cas, elle passe par une bonne compréhension des enjeux économiques et juridiques.

Source photo : Fotolia

Partagez :
  • googleplus
  • linkedin
  • tumblr
  • rss
  • pinterest
  • mail

Avocat associé, Fiducial Legal by Lamy - Concurrence, distribution, marketing, économie, numérique, intelligence économique

Il y a 0 commentaires

Laisser un commentaire

Un avis ?
Laissez un commentaire !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retourner en haut de page