L’urgence d’une meilleure protection des données de santé au sein des cabinets médicaux

La protection des données personnelles au sein des petites structures de santé d’exercice libéral telles que les cabinets médicaux semble de prime abord difficile à mettre en oeuvre efficacement. Un certain nombre de blocages existent, et en premier lieu un défaut de connaissance  de la part des praticiens des risques techniques et juridiques, ainsi que des obligations qui leur incombent et des bonnes pratiques qui leur sont vivement recommandées d’adopter. Pourtant la taille modeste de ces cabinets ne les met pas à l’abri d’éventuelles sanctions de la CNIL, ni même des cyber-attaques et autres fuites de données qui sont désormais tristement communes au sein des structures de taille plus conséquente.

Une croissance des cybermenaces et un durcissement des sanctions

Les cyber-attaques ont en effet été multipliées par deux dans le secteur de la santé, lors de l’année passée. Parmi elles, les attaques par voie de ransomwares (ou rançongiciels, pour les puristes de la langue de Molière) ont augmenté de manière exponentielle, avec une croissance de 94% en 2021. Ces chiffres, en provenance d’une étude de l’entreprise Sophos spécialisée en cybersécurité, dressent un constat bien plus amer : démunis face à des attaques d’envergure contre lesquelles les établissement de santé ne sont pas suffisamment préparés, ils sont en moyenne 61% a accepter de payer une rançon pour récupérer les données de leurs patients.

Si le défaut de sécurisation des systèmes informatiques de ces établissement est malheureusement avéré, cette tendance est bien plus commue au sein des petites structures, telles que les cabinets médicaux. Et pour cause, le coût rédhibitoire nécessaire à une bonne gestion du réseau informatique  et une certaine méconnaissance des règles essentielles en matière de cybersécurité n’incitent pas les praticiens à investir leur temps et leurs revenus dans une meilleure gestion de leur capital informationnel.

Pourtant, les conséquences peuvent être lourdes, tant au regard des droits et de la vie privée des patients que sur le plan juridique et financier. Pour preuve, la récente sanction de la CNIL à l’encontre de deux médecins libéraux, condamnés à payer respectivement 3000 et 6000 euros. Dans cette affaire, un mauvais paramétrage du réseau Wi-Fi de leur cabinet ainsi que d’une machine d’imagerie médicale connectée avait abouti à une fuite de données relativement critique, en permettant le libre accès à des milliers d’images médicales de leurs patients.

Une affaire symptomatique d’un manque de sensibilisation aux principes les plus élémentaires de la protection des données personnelles en général, et des données de santé en particulier.

Des praticiens insuffisamment sensibilisés à la protection des données de santé

Si quelques formations sont disponibles dans ce secteur, elles ne semblent pas plébiscitées par les médecins en exercice, qui accumulent bien souvent de nombreuses mauvaises pratiques, augmentant par là même le risque de fuite de données médicales.

De l’utilisation de matériel informatique personnel à des fins professionnelles en passant par une mauvaise protection et un paramétrage approximatif de leur réseau, de l’absence de verrouillage des postes de travail à la simplicité des mots de passe utilisé, toutes ces pratiques prises sans considération de l’enjeu cyber sécuritaire sont autant de failles potentielles que des individus mal intentionnés se feraient une joie d’exploiter. Et quand bien même aucune malveillance ne serait commise, l’erreur humaine n’est jamais bien loin, comme l’a tristement prouvé la décision de la CNIL précédemment citée.

Plus problématique encore, l’usage bien trop répandu de boites mails et d’agendas connectés, destinés au grand public, pour des communications médicales et des prises de rendez-vous implique de potentiels transfert hors de l’Union européenne non  encadrés. De tels transferts sont par principe interdits par le RGPD, à moins d’obtenir le consentement explicite des personnes concernées. Au delà de cette question, l’usage de ces outils induit également un stockage de données de santés par des hébergeurs non agréés, (non reconnues comme HDS ou Hébergeurs de Données de Santé) ce qui représente une non conformité additionnelle, et un risque accru pour les patients.

Une nécessaire prise de conscience des médecins libéraux

De toute évidence, il est désormais urgent d’informer les praticiens de ces enjeux mais également de combattre les mauvaises pratiques en aidant ces derniers à se mettre en conformité. A titre d’exemple, le lancement de « Mon espace santé » permettant la mise en ligne d’un dossier médical partagé pourrait être bénéfique, notamment en permettant aux médecins de communiquer avec leurs patients à l’aide d’une messagerie sécurisée.

Toujours est-il que chaque action concrète permettant de sécuriser au mieux les données de santé est un pas dans la bonne direction, permettant à la fois aux patients de conserver leurs droits, et aux praticiens de respecter leurs obligations légales, et le secret professionnel qu’ils ont juré d’honorer.

Car si le « primum non nocere » (ou : « en premier, ne pas nuire ») du serment d’Hippocrate est avant tout applicable à la thérapeutique, peut-être serait il temps de l’étendre également à la protection des données de santé.

 

Sources :

Thèse du Docteur Guillaume Arnaud : Protection des données médicales numériques des médecins généralistes de l’ex-région Midi-Pyrénées, présentée et soutenue le 10 Décembre 2019

Thèse du Docteur Grégory Brami : Protection des données patients informatisées en médecine générale, présentée et soutenue le 10 Juin 2009

https://www.cyberveille-sante.gouv.fr/cyberveille-sante/3155-augmentation-de-94-des-attaques-par-rancongiciel-en-2021-dans-le-secteur-de

https://acteurspublics.fr/articles/en-2021-les-cybermenaces-ont-plus-que-double-dans-la-sante

https://www.donnetik.fr/conformite-rgpd-formation-dpo-externalisation/cnil,sanction,donnees,personnelles,controle,medecins-2.php