La CNIL fait un rappel sur le piratage des données de santé

LA CNIL

Plusieurs médias se sont fait l’écho du vol des données de santé de près de 500 000 personnes et de leur publication sur internet. Ces informations proviendraient de laboratoires d’analyses médicales utilisant le même logiciel comportant une faille de sécurité.

La Commission Nationale Informatique et Libertés (CNIL) a lancé une enquête pour en déterminer l’origine exacte. Dans sa note elle rappelle qu’il « incombe aux organismes concernés de procéder à une notification auprès de la CNIL, dans les 72 heures suivant le moment où ils ont pris connaissance » du vol des données de leurs patients. De plus, ils doivent informer personnellement chacun d’entre eux si la fuite compromet « leurs droits et leurs libertés ».

Il est également stipulé que « les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé. »

La CNIL signale également une multiplication par trois des violations liées à des attaques par des cryptolockers sur des établissements de santé entre 2019 (12 violations) et 2020 (36). Doctolib a été une des structures victimes de ce type d’infraction en 2020. Les deux tiers des sanctions quelle prononce visent des manquements à l’obligation de sécurité des données.

Le vol de données de santé a essentiellement un but lucratif. Il peut y avoir une demande de rançon à la personne sur qui portent les informations ou bien un «spear phishing » (incitation à cliquer sur un lien pour recueillir d’autres informations, notamment bancaires).

L’usurpation d’identité (par exemple, pour contracter un crédit en ligne) peut être un autre objectif des cybercriminels.

Quelles sont les obligations des médecins ?

  1. Tout praticien utilisant un dossier médical informatisé doit informer ses patients de son existence et de leurs droits par voie d’affichage.
  2. Les médecins doivent prendre toutes les mesures de sécurité pour éviter que des tiers non autorisés puissent avoir accès aux données de santé.
  3. En cas de stockage dématérialisé de données informatiques du dossier médical des patients, le médecin doit s’assurer que le prestataire choisi est agréé et certifié pour l’hébergement,  le stockage et la conservation de ces informations conformément aux dispositions de l’l'article L.1111-8 du code de la santé publique .
  4. L'article L.1110-4-1 précise que les systèmes d’information ou les outils numériques destinés à être utilisés par les professionnels de santé doivent être conformes aux référentiels d’interopérabilité et de sécurité mentionnés par l'art. 1111-24 , relatif au traitement de ses données, leur conservation sur support informatique et leur transmission par voie électronique.
  5. Un Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux publié par la CNIL le 28 juillet 2020. Ce référentiel s’adresse aux médecins généralistes ou spécialistes exerçant à titre libéral ou en cabinet individuel ou groupé, ou au sein de maisons de santé.
  6. Ce descriptionRéférentiel ( à télécharger )
  7. Le Règlement général sur la protection des données personnelles (RGPD) est consultable sur le site du CNOM est consultable en cliquant sur ce lien

Que doit faire un médecin victime de vol de données médicales?

  1. Porter plainte au Commissariat de police.
  2. Informer par écrit le Conseil Départemental de l’Ordre des médecins afin d’être accompagné dans les démarches administratives et juridiques.
  3. Il est important de signaler toute tentatives de ce type d’escroquerie, notamment des professionnels de santé sur le site gouvernemental cybermalveillance

Références

CNIL. descriptionArticle sur la violation de données de santé 24 février 2021.