Toute personne prise en charge par un professionnel, un établissement ou un réseau de santé a droit au respect de sa vie privée et au secret des informations la concernant. Malheureusement, comme l'a prouvé l'actualité dernièrement, les données personnelles de santé peuvent se retrouver entre les mains de hackers. Comment sont-elles protégées ? On fait le point.
Résultats de bilans sanguins, e-mail, adresse personnelle, traitements ou encore indice de masse corporelle, à chaque fois que nous consultons un professionnel de santé ou que nous réalisons des examens médicaux, nos données personnelles sont stockées. Ces informations privées et intimes sont strictement encadrées et protégées par la législation française, mais il peut arriver qu'elles soient volées et dévoilées par des hackers. C'est ce qu'il s'est passé fin février : un pirate informatique a divulgué les informations médicales de 500 000 Français.
Un piratage de grande ampleur
En février dernier, un hacker a publié sur un forum les données médicales de plus d'un demi-million de Français. Les pirates informatiques ont fait main basse non seulement sur les coordonnées des assurés (numéros de téléphone, adresses, e-mails, etc.), mais aussi sur leurs groupes sanguins, leurs numéros de sécurité sociale ainsi que la liste des laboratoires qui ont eu accès aux informations médicales des personnes victimes de l'attaque.Des mots de passe et des identifiants appartenant à des entités médicales (hôpitaux, cliniques, laboratoires) font partie également de l'hémorragie. Ces mots de passe permettent par exemple à des patients de se connecter à leur espace personnel sur les sites médicaux.
La plupart des données proviennent d'une attaque perpétrée à l'encontre d'une trentaine de laboratoires. Selon l'enquête de Libération, il s'agirait d'entreprises médicales situées dans le Morbihan, les Côtes-d'Armor, l'Eure, le Loiret et le Loir-et-Cher.
Le premier risque pour les personnes qui ont vu leurs informations médicales fuiter est de voir la multiplication des sollicitations malveillantes. Les listes d'e-mails, d'adresses et de numéros de téléphone sont très prisées par les pirates qui s'en servent pour inonder leurs correspondants d'appels et de courriels de démarchage.Enfin, l'usurpation d'identité, notamment pour des soins médicaux, fait aussi partie des intentions des malfaiteurs.
Un cadre législatif strict
Pourtant, la France possède un régime juridique strict et particulier pour protéger les données médicales de ses concitoyens. Trois textes constituent le socle de cette réglementation : la loi Informatique et libertés de 1978, le Code de la santé publique et le règlement sur la protection des données du 25 mai 2018. La Commission nationale de l'informatique et des libertés, la CNIL, participe aussi grandement à la surveillance de ces informations privées et œuvre régulièrement auprès des professionnels de santé afin de les renseigner sur les bonnes pratiques à mettre en place afin de sécuriser au maximum ces contenus.
Ainsi, quel que soit le support – informatique ou papier –, les données de santé personnelles sont soumises au strict respect de ces textes législatifs.
Quelles obligations pour les professionnels de santé ?
Les professionnels de santé ont donc des obligations quant aux données qu'ils collectent de leurs patients. Pour ceux qui stockent ces informations informatiquement, un premier devoir s'impose : les éléments récupérés doivent être hébergés auprès d'entreprises agréées à cet effet. En France, depuis 2018, la certification « hébergeur en données de santé » le permet. Elle est obligatoire pour tous les acteurs qui recueillent des données de santé à caractère personnel « à l'occasion d'activités de prévention, de diagnostics, de soins ou de suivi médico-social ». La liste des hébergeurs certifiés est disponible sur le site esante.gouv.fr.
Cet encadrement permet, par exemple, à un pharmacien de stocker des données issues de la lecture d'une carte Vitale d'un patient sur des serveurs spécialement habilités à recevoir des données à caractère personnel.
En plus d'héberger leurs contenus sur des plateformes sécurisées, les professionnels doivent également se prémunir contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d'origine accidentelle de ces données. Cela passe alors par l'utilisation d'une carte professionnelle de santé, par des mots de passe personnels ou encore l'utilisation d'un système de chiffrement fort.
