Cyberattaque en milieu hospitalier : les 10 commandements du DSI
29 mars 2021 - 14:21,
Tribune
- Me Alexandra IteanuEn cas de cyberattaque visant un établissement hospitalier, les dix règles d’or suivantes devraient être appliquées par le Directeur des Services Informatique (DSI) en charge de la gestion de crise.
1er Commandement : Tes données tu protégeras
Les données à caractère personnel traitées par les établissements de santé sont en grande partie des données de santé, et sont considérées comme des données dites « sensibles » par l’article 9 du Règlement UE n°2016/679 dit RGPD.
À ce titre, leur protection est renforcée, et nécessite la mise en place d’un environnement de sécurité dédié. Les mesures de protection mises en place doivent non seulement répondre aux exigences du RGPD (article 32), mais doivent également se conformer aux dispositions nationales prévues notamment dans le Code de la santé publique. A titre d’exemple, lorsque ces données sont externalisées, elles ne peuvent être hébergées que par un prestataire technique bénéficiant d’un agrément « HADS » (Hébergeur Agréé de Données de Santé »).
2ème Commandement : Tes données tu sauvegarderas
Le responsable du traitement des données de santé doit également se conformer à l’article 32 du RGPD, qui prévoit la mise en place de mesures techniques en tenant compte « de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques ». Le même article prévoit également que des moyens doivent être mis en place « permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ».
Au regard de la nature des données de santé et du contexte dans lequel elles sont traitées, des sauvegardes régulières doivent être réalisées.
En cas de cyberattaque et surtout en milieu hospitalier, la prise en otage de certaines données de santé peut s’avérer fatal, ces mesures de sécurité et de sauvegarde sont donc indispensable pour assurer la continuité des services.
3ème Commandement : La cyberattaque tu reconnaitras
La violation de données à caractère personnel n’est pas toujours évidente à caractériser, et peut prendre plusieurs formes.
Elle est définie par l’article 4 (12) du RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».
Ainsi, une cyberattaque sera caractérisée même si cette dernière n’entraine pas de divulgation des données impactées. La simple destruction, ou perte de données patients est assimilée à une violation de données personnelles, et doit donc dans ce cas suivre les procédures propres au violation de données à caractère personnel décrites ci-après.
4ème Commandement : La cyberattaque tu documenteras
Dès la prise de connaissance de la cyberattaque, il est primordial de documenter en interne cette violation, en fournissant les informations demandées par l’article 33 du RGPD :
- la nature de la violation ;
- si possible, les catégories et le nombre approximatif de personnes concernées par la violation ;
- les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- décrire les conséquences probables de la violation de données ;
- décrire les mesures prises ou envisagées pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
Cette documentation doit prendre la forme d’un registre, et permettra ainsi d’évaluer l’ampleur de la cyberattaque, et des mesures techniques et organisationnelles à prendre pour y remédier.
5ème Commandement : La CNIL tu notifieras
En tant que responsables de traitement, les établissements hospitaliers disposent d’un délai de 72 heures à compter de la connaissance de la cyberattaque pour la notifier auprès des services de la Commission Nationale Informatique et Libertés (CNIL), conformément à l’article 33 du RGPD.
Cette notification se présente sous la forme d’un formulaire en ligne, qu’il conviendra de renseigner en y intégrant toutes les mentions prescrites par le Commandement précité : nature de la violation, catégories de données impactées, éventuelles conséquences de la violation, etc.
6ème Commandement : Les patients tu avertiras
En cas de violation de données à caractère personnel, l’information aux personnes concernées n’est pas systématique. Les personnes concernées ne seront informées que si la violation de données personnelles « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique » (article 33 du RGPD).
Dans le cas des cyberattaques en milieu hospitalier, les données impactées sont en grande partie les données de santé des patients. Dans ce cas-là, leur violation présente manifestement un risque pour les « droits et libertés » des patients concernés. Il revient donc au responsable de traitement d’avertir les patients concernés de cette cyberattaque, en décrivant la nature de la violation, ses conséquences probables, les mesures prises pour y remédier et communiquer les coordonnées du DPO (Délégué à la Protection des Données).
Il sera également recommandé dans ce cas-là de mettre en place une hotline, ou une adresse électronique dédiée, pour permettre aux personnes concernées de poser leurs questions.
7ème Commandement : Le DPO tu impliqueras
Le Délégué à la Protection des Données (dit « DPO »), dont les missions sont définies à l’article 38 du RGPD, conseille et accompagne l’entité qui le désigne dans le cadre de toutes activités en lien avec des données à caractère personnel.
Il est obligatoire pour les établissements de santé de désigner un DPO lorsque des données de santé sont traitées « à grande échelle » (article 37 du RGPD).
En cas de cyberattaque, le DPO se verra impliqué de trois manières : (1) ses coordonnées seront transmises aux patients concernés dans le cadre des mentions d’information à leur notifier (article 34 du RGPD), (2) son avis sera consulté dans le cadre de la gestion organisationnelle de la cyberattaque, et enfin (3) il sera en principe le référent de la CNIL si cette dernière a des questions relatives à la violation de données personnelles.
8ème Commandement : Une plainte tu déposeras
L’accès et le maintien frauduleux dans un système d’information est un délit pénal, puni par la loi, et notamment par les articles 323-1 et suivants du Code pénal.
En cas de cyberattaque, le responsable de traitement est fortement invité à déposer plainte auprès du Parquet du Tribunal Judiciaire, en détaillant la violation constatée, et le préjudice subi.
Le dépôt de plainte permet ainsi la réalisation d’enquêtes afin d’identifier les hackers mais surtout de chiffrer le préjudice subi par la structure hospitalière, pour réparer le sinistre.
9ème Commandement : Avec tes sous-traitants tu communiqueras
Certains services numérisés des hôpitaux peuvent être externalisés, et confiés à des « sous-traitants » au sens de l’article 4 (8) du RGPD.
Des prestataires externes se retrouvent ainsi très souvent impliqués dans une cyberattaque visant un établissement hospitalier.
En cas de cyberattaque, et conformément à l’article 28 du RGPD, le sous-traitant aura alors l’obligation d’avertir l’établissement médical « dans les meilleurs délais » à compter de sa connaissance de la violation de données. Ce délai est souvent précisé contractuellement et est porté à 72 heures, au même titre que le délai imposé au Responsable de traitement.
Outre cette notification, il est également demandé au sous-traitant de coopérer, et d’apporter au responsable du traitement toute information utile relative à la violation de données personnelles.
10ème Commandement : La communication tu géreras
Au-delà de l’aspect technique et de la réparation du système d’information impacté, il est important pour le responsable de traitement de ne pas mettre de côté la communication externe relative à cette cyberattaque.
Les conséquences d’une cyberattaque ne sont en effet et malheureusement pas que techniques, mais touchent également l’image et la réputation d’un établissement.
Outre les mentions d’information à apporter aux patients concernés, conformément à l’article 34 du RGPD, une stratégie de communication devra également rapidement être mise en place, nécessitant la collaboration des équipes techniques et des équipes de direction.
Une partie souvent délaissée et pourtant importante de cette communication concerne les collaborateurs internes de l’établissement, qu’il faudra bien évidemment tenir informés, tout en rappelant la nature confidentielle des informations communiquées.
En conclusion, ces 10 Commanderas tu respecteras et une gestion apaisée de la crise tu bénéficieras.
L'auteur
Alexandra Iteanu
Avocat à la Cour
www.iteanu.law