• Aucun résultat trouvé

Sécurité des données de santé : CNIL, RGPD… êtes-vous au point ?

N/A
N/A
Protected

Academic year: 2022

Partager "Sécurité des données de santé : CNIL, RGPD… êtes-vous au point ?"

Copied!
3
0
0

Texte intégral

(1)

S ecurit e des donn ees de sant e :

CNIL, RGPD. . . ^ etes-vous au point ?

Nicole Jouan

Brest

nicole.jouan@wanadoo.fr

Environ 180 000 cyberattaques se pro- duisent tous les joursa travers le monde.

Depuis les annees 1990, le monde du web est aussi celui de la criminalite : des hackers utilisent leur connaissance du cyber-espace pour voler et destabi- liser des banques, des entreprises, des

etats, des centrales nucleaires. . .Extor- sion de fonds, chantage, vol d'identi- fiants, espionnage, fraude, usurpation d'identite, paralysie des systèmes, etc., la cyber-malveillance revêt plusieurs visages, masques certes, mais de plus en plus inquietants. Recemment, le darkweb s'est trouve une nouvelle cible : la donnee de sante, que le nouveau règlement europeen definit comme «les donneesa caractère personnel relativesa la sante physique ou mentale d'une personne physique, y compris les pres- tations de services, de soins de sante qui revèlent des informations sur l'etat de sante de cette personne».

Ces donnees ont acquis de la valeur sur le marche noir : 1 dossier medical vaudrait 50 $, un dossier d'assurance-maladie 1 $.

Revente de donnees aux laboratoires, aux assureurs, espionnage industriel, destruction de la reputation des profes- sionnels et desetablissements–et de la confiance des patients – chantage et extorsion, la cybercriminalite a un nou- veau « terrain de jeu ».

La securite des systèmes d'information de sante est donc devenue un enjeu majeur. Il est en effet necessaire pour la qualite de la prise en charge des patients que les donnees de sante soient confi- dentielles,fiables, tout enetant disponi- bles, traçables et partageables.

Les donnees de sante

Elles sont en France aux mains des Hôpitaux publics/prives, cabinets medi- caux, dans les laboratoires d'analyse, les Maisons Departementales du Handicap,

les services de l'Assurance-Maladie (le SNIIRAM, ou Système National d'Infor- mation Inter-Regimes de l'Assurance- Maladie, regroupe les donnees anony- mes de l'assurance-maladie obligatoire, consultations, biologie, hospitalisations, ambulances, examens complemen- taires, medicaments rembourses, causes medicales de decès), les mutuelles, les assureurs, le Dossier Medical Partage (DMP). . .

Bien que la loi prevoie un agrement très sevère pour les hebergeurs de donnees de sante, l'actualite recente regorge d'affaires illustrant la vulnerabilite des systèmes informatiques. Si vous avez la curiosite d'aller sur le site cyberveille- sante.gouv.fr vous serez edifies : un hôpital de Los Angeles verse 17 000 $ pour recuperer ses dossiers cryptes par une attaque informatique, un virus paralyse trois hôpitaux du nord-est de l'Angleterre, en France, une polycli- nique du Loir-et-Cher fait face a une tentative d'extorsion, le groupe de hac- kers Rex Mundi demande 20 000ea un laboratoire d'analyses medicales sous peine de devoiler ses fichiers sur le net. . .On ne compte plus les accidents d'exposition des donnees patients sur la toile : la CNIL enregistre regulièrement des plaintes. Cyber-negligence ou cyber- malveillance, les donnees de sante ne sont pas toujours très bien gardees ! Les mini-serveurs de donnees, de radio- logie ou de biologie, permettant un accès rapide aux resultats, ne sont pas tous agrees, et leur accès est très moderement protege. La CNAM n'est pas plus vertueuse puisque la CNIL l'a

epinglee en fevrier pour manquements

a la Loi Informatique et Libertes, la pseudonymisation des assures sociaux et les procedures de sauvegarde des donnees etant defaillantes. De plus, le Système National des donnees de Sante (SNDS), cree dans le cadre de la Loi de modernisation du système de sante du 26 janvier 2016, ouvre ses donnees en provenance entre autres du SNIIRAMa desfins de recherche d'interêt publica

tout citoyen, professionnel de sante ou organisme (public ou prive) participant au fonctionnement du système de sante.

Il fait courir–c'est la CNIL qui le dit–un risqueeleve de perte de confidentialite des donnees personnelles, vu le grand nombre de personnes potentiellement concernees par l'accès aux donnees.

Les attaques informatiques

Les menaces qui pèsent sur les donnees personnelles de sante sont donc de plus en plus complexes et frequentes. Les attaques s'appellent « hameçonnage »,

« ransomware », « deni de service »,

« defacement » ou « intrusion biomedicale ». Voyons cela de plus près.

Le hameçonnage ouphishingconsistea envoyer en guise d'appât un email visant a obtenir des informations per- sonnelles « sensibles » du destinataire (codes d'accès, numero de carte de credit, de SS. . .). Vous en avez proba- blement deja reçu, mais un indice vous a mis la puce a l'oreille : une faute d'orthographe, une en-tête « officielle » legèrement differente. . .

Un ransomwareou rançongiciel est un logiciel malveillant (malware des Anglo- Saxons) qui prend en otage en les cryptant les donnees de l'ordinateur dans lequel il s'introduit. L'un des plus connus est Wannacry, apparu le 12 mai 2017. Il se propage automatiquement dans un reseau informatique sur les machines Windows auxquelles certains correctifs qui auraient dû être appliques ne l'ont pas ete. Il crypte les fichiers en grand nombre, le pirate reclame une rançon (souvent en Bitcoins) pour les restaurer.

De nombreuses entreprises en ont ete victimes, maisegalement le NHS anglais

doi:10.1684/dm.2018.85

162 DermatoMag- N83 - juillet - ao^ut - septembre - 2018

E-DERMATOLOGIE

(2)

dont plusieurs structures sanitaires ont

ete paralysees durablement en 2017, des coupes budgetaires importantes associees a l'obsolescence du système informatique l'ayant rendu vulnerable.

L'intrusion biomedicale est une modalite emergente de malveillance : les pompesa insuline, les defibrillateurs implantables, et d'une manière generale tous les dispositifs dependant d'une connexion wifi ou bluetooth sont la cible theorique de tout hacker degourdi. . . fantasme ou realite ? Dans le cas des pacemakers d'Abbott, les chercheurs de la FDA ont prouve qu'il

etait possible de prendre le contrôle du dispositif a une distance relativement courte pour ralentir ou accelerer le rythme cardiaque. . .

Si la cybersecurite est un problème complexe, et même un defipermanent, les solutions pour la maîtriser ne font que se multiplier. Accompagnant ce mouvement, les pouvoirs publics ont developpe un arsenal legal contraignant toute personne ou organisation detenant des donnees personnelles a investir dans leur securite. Plus de vingt textes reglementaires regissent la protection des donnees de sante et sont regroupes dans la Politique generale de securite des systèmes d'information en sante1. Depuis le 30 octobre 2017, le Code de la Sante Publique oblige lesetablissements

a declarer sur le portail de signalement desevenements sanitaires indesirables www.signalement.social-sante.gouv.fr/, toute action ou suspicion d'action mal- veillante ayant un impact sur son fonctionnement normal2. La declaration est transmise a l'Agence regionale de

sante (ARS) competente et a l'Agence des systèmes d'information partages de sante (ASIP).

La RGPD

Plus recemment, le 28 mai 2018, le Règlement europeen n° 2016/679 du 27 avril 2016 sur la protection des donnees personnelles (RGPD) est entre en vigueur. Il confère a toute organisation manipulant des donnees personnelles de nouvelles obligations.

Il ne s'agit plus de declarer son activite a la CNIL, mais d'être en mesure de demontrera chaque instant le respect de la reglementation. Des amendes sont prevues en cas de manquement.

Nos cabinets medicaux sont concernes, la securite des donnees n'etant qu`une facette du secret medical : puisque nous creons des « dossiers patients » nomi- natifs, nous collectons, conservons, modifions, communiquons des donnees personnelles, utilisons les plateformes en ligne de gestion des rendez-vous, effectuons des actes de telemedecine.

Nous avons echappe au recueil du consentement du patient a la creation de son dossier medical et a la designation pour nos petites structures d'un delegue a la protection des donnees. . . Nous savions deja qu'il fallait faire attention a la communica- tion des donnees de sante : aucun envoi d'information medicale ne peut se faire par messagerie non cryptee, et s'equiper d'un logiciel agree pour l'hebergement de donnees de sante (HDS) avec messa- gerie securisee par la CPS est un minimum. Autres points de vigilance : l'utilisation d'un mot de passe conforme aux recommandations de la CNIL (12 caractères, chiffres, lettres majuscules et minuscules, caractères speciaux),

renouvele regulièrement, le verrouillage de votre session informatique automa- tiquement après maximum 30 minutes d'inactivite, un antivirusa jour, un pare- feu, l'application systematique des cor- rectifs de securite du système informa- tique et des logiciels, la sauvegarde regulière–au minimum hebdomadaire –des donnees, et leur conservation dans un lieu different que votre cabinet, la minimisation des connexions d'appa- reils non professionnels sur le reseau, l'authentification via votre Carte de professionnel de sante (CPS) ou tout moyen alternatif d'authentification forte. . .En cas de prise de rendez-vous en ligne ou de secretariat telephonique, verifiez dans votre contrat que le pres- tataire a mis en place des mesures techniques et organisationnelles neces- saires afin d'assurer la securite et la confidentialite des donnees confiees.

Concernant la conservation des donnees, la duree legale en est d'au moins 20 ans, et il ne faut pas omettre la clause de confidentialite dans les contrats de travail des assistant(e)s, secretaires. Ce qui est nouveau avec la RGPD, c'est l'obligation qui nous est faite de tenir un registre d'activite de traitement des donnees personnelles.

Il recense les differents cadres dans lesquels vous collectez des donnees personnelles (dossier patient, prise de rendez-vous en ligne, telemedecine. . .).

Vous devez ensuite creer unefiche pour chaque activite qui en detaille les aspects techniques. Vous devez aussi informer les patients de l'existence de vos dossiers et de leurs droits a cet

egard par voie d'affichage dans la salle d'attente, ou par la misea la disposition d'un depliant. Vous trouverez les modè- les dans le document «Guide pratique sur la protection des donnees»edite en

1PGSSI-S, Article L11110-4-1 de la loi de Sante.

2Article L.1111-8-2 du CSP, Decret n°2016- 1214 du 12 septembre 2016, Arrête du 30 octobre 2017.

DermatoMag- N83 - juillet - ao^ut - septembre - 2018 163

E-DERMATOLOGIE

(3)

juin 2018 conjointement par la CNIL et le CNOM, a adapter a votre situation particulière avec l'aide de votreediteur

de logiciel ou de votre prestataire informatique3.

Une nouvelle couche a nos obligations multiples, donc. Quelle ironie quand on regarde la desinvolture avec laquelle nos concitoyens divulguent sur les reseaux sociaux des informations inti- mes, et comment les objets connectes

« pompent » a leur insu des donnees personnelles : les outils gratuits du Quantified self sont utilises comme appâts dans la pêche aux donnees pour des entreprises qui savent (presque) tout de vous : vous êtes geolocalise, pese, vos calories et le nombre de vos pas sont

comptes, votre tension arterielle analysee. . . L'Institut AV test a montre que plus de 80 % des applis actuelle- ment sur le marche n'ont pas de declaration de protection des donnees ! Et nul doute que les enceintes connectees et l'activation aleatoire de leur micro-espion vont faire franchir un cap supplementaire dans la recolte des donnees personnelles. . .

Attention, Big Brother veille.

Liens d'interêts :l'auteur declare n'avoir aucun lien d'interêt en rapport avec l'article.

3https://www.conseil-national.medecin.fr/

sites/default/les/guide_cnom_cnil_rgpd.

pdf

164 DermatoMag- N83 - juillet - ao^ut - septembre - 2018

E-DERMATOLOGIE

Références

Documents relatifs

David Rolland - IUFM de la Polynésie française - 7 |9 Saviez-vous que vos mots de passe étaient visible?. Supprimer tous les mots de passe mémorisés et

Soit donc une machine de Turing M , et on cr´ ee de la mˆ eme mani` ere que pr´ ec´ edemment un syst` eme de r´ e´ ecriture associ´ e R.. Cependant, tous les termes du nouveau

— Difficulté pour gérer certains protocoles : Certains protocoles sont particulièrement délicats à gérer à l’aide de cette technique comme FTP (le suivi des échanges FTP est

Cela peut avoir l'air d'un simple détail, mais pensez à ce que vous voulez que les nouveaux membres sachent à propos de votre club, et assurez-vous que ces informations soient

Exemples : le master pro mention informatique : cryptologie et sécurité informatique (Bordeaux 1) ; sécurité des systèmes informatiques, évaluation du risque (Rouen)

L’Assemblée Générale Ordinaire, après avoir entendu lecture du rapport spécial des Commissaire aux Comptes sur les conventions réglementées, relevant de l’article 56 et

À partir d'une position confortable (couché sur le dos par exemple) , contraction pendant 10 secondes , relâchement 10 secondes d'un groupe musculaire puis un autre en passant

Les risques de surexposition à ce produit s'effectuent par contact avec la peau et les yeux Dans des conditions normales d'utilisation, l'inhalation de vapeur et l'ingestion ne sont