Sécurisation des données de santé : enjeux, risques et bonnes pratiques

Écrit par Marius Saussereau
 

L’importance des données de santé dans les enjeux actuels qui gravitent autour de nous n’est plus une légende ou même un sujet du futur, mais bien une réalité depuis plusieurs années.

La CNIL entend par données de santé les données à caractère personnel relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.

Cela comprend donc les informations relatives à une personne physique collectées afin que celle-ci bénéficie d’une prestation de services de soins de santé, les informations collectées lors d’un test ou d’un examen d’une partie du corps, ou encore les informations concernant une maladie, un handicap, un risque de maladie ou des antécédents médicaux

Cette définition se veut relativement large afin d’englober un ensemble de données qui, croisées avec d’autres, permettrait de déduire l’état de santé d’une personne.

Ce périmètre étendu de la définition est donc souhaité dans le but que ces données soient protégées au maximum des risques environnants.

Le volume de données qui s’accumulent ne cesse de croître au fil de l’évolution technologique, tout comme le nombre de cyberattaques faisant rage à travers le monde. Bien évidemment, le domaine de la santé n’est pas épargné, bien au contraire : il est pris pour cible.

Nous vous en parlions l’an dernier, les autorités compétentes adoptent désormais une politique visant à responsabiliser les acteurs traitant des données de santé en imposant, par exemple, des obligations spécifiques aux hébergeurs de données de santé, ou bien en encadrant les durées de conservation selon le type de données de santé.

La sécurité des données de santé est un sujet au centre de l’actualité, tant pour les enjeux qu’elle représente que pour les risques qu’elle encourt (1).

C’est pourquoi il existe un ensemble de comportements indispensables à adopter lorsqu’il est question du traitement de données de santé (2).

1.     Les enjeux et risques liés aux données de santé

 

1.1  Les risques de cyberattaque : l’exemple de l’hôpital de Corbeil-Essones

Les différentes entités, établissements publics ou privés, entreprises ou associations, qui collectent ou traitent des données à caractère personnel ont tout intérêt à assurer un haut niveau de sécurisation de celles-ci, et d’autant plus lorsqu’il est question de données de santé.

L’incident survenu fin août 2022 à l’hôpital de Corbeil-Essonnes en est l’exemple même. Pour rappel, l’établissement de santé a subi une cyberattaque par rançongiciel, dont les coûts engagés dans la crise se sont élevés à environ 2 millions d’euros. Il convient d’ajouter à cela environ 5 millions d’euros afin de rebâtir en 2023 l’ensemble de l’architecture informatique. La facture s’avère très élevée, surtout si l’on inclut de surcroît la plainte de l’UNACS « L’Union nationale des associations citoyennes de santé » qui cherche à engager la responsabilité de l’hôpital devant la justice administrative.

L’UNACS dénonce notamment le choix de prestataires en sous-traitance de la maintenance informatique, dont l’action a été de toute évidence défectueuse, ainsi qu’une absence d’information des personnes concernées par l’attaque, mais également une absence de réponse aux demandes de droit d’accès des patients vis-à-vis de leur dossier médical.

La plainte de l’UNACS fait également référence à la condamnation de l’ancien responsable de la sécurité informatique d’Uber, qui avait été condamné pour avoir dissimulé en 2016 une attaque informatique ayant provoqué la fuite de données personnelles d’environ 57 millions de personnes. Être victime d’une cyberattaque n’empêche donc pas l’engagement de la responsabilité juridique des organismes victimes.

Les structures en charge d’un traitement de données ont une obligation de moyens afin de garantir « un niveau de sécurité adapté au risque ». Or les données de santé sont extrêmement vulnérables du fait de l’importance des informations qu’elles contiennent. Dans ce contexte, les hôpitaux sont non seulement plus à risque de subir une cyberattaque, mais sont aussi tenus de garantir un niveau de sécurité d'autant plus élevé qu'ils traitent des données particulièrement sensibles.

1.2  Vers un accroissement des cyberattaques et de leurs conséquences

Comme abordé précédemment, la multiplication des usages et du volume de données a amplement contribué à une hausse constante du nombre de violations de données à caractère personnel. La CNIL dénombrait 5000 notifications de violation de données personnelles en 2021, dont 43% par rançongiciel.

L’augmentation du nombre de plainte auprès de l’autorité compétente est d’ailleurs alarmante, avec plus de 14 000 plaintes en 2021, représentant une augmentation de 75% depuis mai 2018.

Plus inquiétant encore, le secteur « Santé humaine et action sociale » représente 18% des 5000 notifications de violation de données personnelles en 2021, faisant de celui-ci le second secteur le plus touché par des attaques, sur dix au total, juste derrière le secteur « Activités spécialisées, scientifiques et techniques » avec 21%.

Subir une cyberattaque implique nécessairement des conséquences pour les personnes concernées par la violation de données à caractère personnel, mais également des conséquences et risques qui peuvent venir directement impacter l’organisme visé.

En effet, une attaque informatique engendre de nombreux risques que la CNIL catégorise ainsi :

  • Le risque financier : il comprend les sanctions administratives, les actions collectives, les ressources internes perdues, etc.,

  • Le risque médiatique : il comprend les sanctions CNIL rendues publiques, les actions judiciaires intentées à l’égard de l’organisme, les fuites de données dévoilées par la presse, etc.,

  • Le risque juridique : il est ici question de la responsabilité pénale des dirigeants qui peut être engagée, des actions judiciaires entreprises par un agent ou un patient, ou encore des sanctions administratives prononcées par la CNIL, etc.,

  • Le risque « patrimoine informationnel » : il est fait référence aux pertes de données faisant suite à une violation, aux suppressions des données à la suite d’une sanction de la CNIL, aux refus ou au retrait des autorisations délivrées par la CNIL, etc.

Les risques et conséquences sont donc nombreux et, afin d’éviter des préjudices en cascade, il est important de mettre en place des actions visant à protéger l'ensemble des données personnelles collectées.

2.     Les bonnes pratiques en matière de sécurisation des données

 

2.1 Les gestes techniques permettant une sécurisation des données

La sécurisation des données passe par différents points de vigilance sur lesquels il est important d’être très attentif.

Dans un premier temps, il est nécessaire de ne pas négliger le chiffrement des données, au repos comme en transit. Le chiffrement des données au repos va notamment réduire les risques de fuites de données engendrés par des appareils perdus ou volés, par un partage de mot de passe par inadvertance, ou encore par une mauvaise gestion des droits d’accès. Il convient également de s’assurer que les données stockées dans des services SaaS et basés sur le cloud sont également cryptées au repos.

Concernant le chiffrement des données en transit, il convient de s’assurer que les données sont toujours transmises à l’appui de normes de cryptage en transit strictes, avec des certificats SSL et TLS notamment, et par le biais de connexions sécurisées. Ce point d’attention s’applique à tout type de site et service Web contenant des formulaires, des écrans de connexion, des capacités de téléchargement, etc.

Dans la même lignée, il est primordial de favoriser, dès que possible, la pseudonymisation et le cloisonnement des données identifiantes. Cela se traduit concrètement par le remplacement des données directement identifiantes (comme le nom, le prénom, etc.) contenues dans une base de données par des données indirectement identifiantes (comme un alias, un numéro, etc.). Il convient cependant d’évaluer, selon la sensibilité des données, le niveau de gravité et de survenance du risque, et de déterminer ainsi si la pseudonymisation est bien adaptée à chaque cas. Si tel n’est pas le cas, alors il faut nécessairement se diriger vers l’anonymisation des données en question.

La mise en place d’une authentification forte des accès permettra de sécuriser ces derniers et, par conséquent, de protéger et de tracer l’utilisation des données. Pour cela, de nombreuses méthodes sont possibles, selon l’organisme. Il peut s’agir de code temporaire, de carte à puce, voire d’une authentification à plusieurs facteurs pour un accès aux données d’autant plus sécurisé.

La CNIL explique également l’utilité de tracer les accès et de gérer les incidents, en établissant notamment des procédures afin de pouvoir réagir en cas de violation de données. Ces dernières permettront de définir la manière dont il sera possible d’identifier un accès frauduleux ou une utilisation abusive de données personnelles, ou encore de déterminer l’origine d’un incident. Concrètement, cela passe par à un dispositif de journalisation et de gestion des traces et des incidents qui enregistre les évènements pertinents sans possibilité d’altérer ces derniers (attention tout de même aux durées de conservation).

Enfin, ces gestes techniques de sécurisation des données de santé doivent s’inscrire dans la mise en place d’une gouvernance de la donnée au sein de l’organisme, avec une volonté d’amélioration et de contrôle continu.

 

2.2 Les étapes de mise en place d’une gouvernance de la donnée de santé

Une gouvernance organisée et solide en matière de données de santé est réalisable en suivant quatre grandes étapes :

Premièrement, il est indispensable d’évaluer ce qui est déjà en place, et ce qu’il reste à mettre en place. Pour cela, il faudra délimiter le périmètre de traitement des données de santé, évaluer les attentes des parties prenantes (ici les patients, les professionnels de santé et les autorités de contrôle), et évaluer également la conformité juridique des traitements et les risques de sécurité qui pèsent sur les données. Ces actions vont ensuite permettre d’établir un plan d’action juridique et technique s’appuyant sur le registre tenu par le DPO, les analyses d’impacts sur la protection des données, et les démarches réalisées par l’organisme depuis l’entrée en vigueur du RGPD.

La seconde étape va consister à identifier les forces disponibles au sein de l’organisme. En effet, l’ensemble du système de management de protection des données va reposer sur des acteurs clés, à savoir :

  • La direction de l’établissement en charge de définir la politique générale et qui va octroyer les moyens nécessaires,

  • Le DPO qui va cartographier les traitements de données de santé et évaluer la conformité juridique et technique.

  • Le RSSI et le DPO qui vont assurer le maintien quotidien de la conformité et la coordination des plans d’action.

La troisième étape comprend la création de procédures et la réalisation de rapports sur les différents domaines gravitant autour de la protection des données de santé. Pour cela, différentes actions sont nécessaires :

  • La mise en œuvre et le suivi du plan d’action juridique et technique,

  • Le traitement des incidents et des violations de données,

  • Le traitement des demandes et des plaintes,

  • Des mises à jour et réévaluations régulières de la conformité de l’organisme et des risques auxquels il est susceptible d’être confronté, tout en prenant en compte l’évolution du contexte environnant et des traitements,

  • Une consolidation des retours d’expérience via des rapports,

  • Des revues de direction et allocation des moyens humains et budgétaires.

Enfin, la dernière étape consistera à sensibiliser et former l’ensemble de l’organisme pour instaurer une véritable culture de la protection des données, et que chacun adopte les bons réflexes face à une situation représentant un risque pour des données de santé. Cette sensibilisation va donc passer par un rappel des règles de sécurité informatique (PSSI, charte informatique), un rappel des grands principes de protection des données, mais aussi par la création de fiches réflexes avec les directives à tenir en cas d’incident et de violation de données, de demande d’exercice de droit ou encore de plainte.

En conclusion, la sécurisation des données de santé est un enjeu à prendre extrêmement au sérieux, nécessitant une réelle implication dans le temps avec une remise en question permanente des différents process adoptés par l’organisme. Un travail qui peut sembler colossal parfois, mais qui est à la portée de chacun lorsque l’on s’entoure des bons acteurs, que le personnel est impliqué et informé, et que la gouvernance est adaptée aux besoins.

Marius Saussereau
Précédent

Entreprises éco-responsables : objectifs et réglementation pour le secteur privé
Suivant

L’essor de l’examen en ligne