En ce début 2021, les attaques contre les systèmes d’information des hôpitaux se multiplient en France. Une fuite de données de santé touchant près de 500 000 patients vient d’avoir lieu. Valérie Aumage, associée chez Taylor Wessing, à la tête du département IT/données personnelles, décrypte ce sujet devenu hautement sensible sous l’effet de la crise sanitaire.
Comment expliquez-vous cette recrudescence des failles en matière de cybersécurité dans le secteur de la santé ?
Il y a des « maillons faibles » dans l’univers de la santé. Ce sont en premier lieu les médecins, qui manquent de moyens ou sous-estiment l’importance des mesures de sécurité à mettre en œuvre. De même, les laboratoires d’analyses médicales ne sont, semble-t-il, pas les mieux équipés en cybersécurité. Pour autant, ce sont les hôpitaux et les zones stratégiques qui sont les cibles privilégiées des hackeurs. De fait, le gouvernement a lancé un programme de renforcement général du niveau de sécurité des établissements de santé.
Qu’est-ce que les opérateurs du secteur de santé peuvent et doivent faire pour se prémunir des risques de piratage ?
Ces opérateurs doivent appliquer les règles en vigueur qui imposent des mesures de sécurité très élevées puisqu’il s’agit de données sensibles. Il faut au besoin revoir son niveau de sécurité en effectuant des audits pour vérifier que les dispositions prises sont suffisantes. De façon plus générale, la Commission nationale de l’informatique et des libertés (Cnil) essaie de sensibiliser l’ensemble des acteurs et de trouver des solutions pour donner des cadres spécifiques sur certains sujets. Elle vient, par exemple, de lancer une consultation publique sur « les entrepôts de données de santé », qui s’adresse aux organismes souhaitant collecter massivement des données de santé dans le cadre d’une mission d’intérêt public, notamment à des fins de recherche. De même, la Cnil a initié un « bac à sable » des données de santé à l’attention des acteurs de l’innovation. Elle proposera aux lauréats un accompagnement renforcé pour aboutir à un service ou à un produit conforme à la réglementation en vigueur.
Nous observons une amplification des données de santé. Le cadre juridique existant est-il suffisamment solide pour répondre à cette évolution de la société ?
Le cadre est solide, mais encore faut-il que l’ensemble des acteurs le respectent. Je pense notamment aux start-up. Ces dernières veulent avancer vite, parfois sans se poser les bonnes questions en matière de sécurité. L’accompagnement renforcé de cet écosystème sur les aspects réglementaires représente évidemment un coût.
Le sujet des transferts de données de santé vers d’autres pays revient régulièrement sur le devant de la scène. Cela a été notamment le cas avec le projet de la base nationale des données de santé (Health data hub). Quel regard portez-vous sur ces évolutions réglementaires en cours ?
La question sur la licéité des transferts de données de santé en dehors de l’Union européenne est un sujet brûlant. Dans le cas du projet Health data hub, c’est Microsoft qui hébergeait les données, sans que celles-ci soient stockées en dehors de l’Europe. Le risque d’accès des autorités américaines aux données de santé était très limité. Cependant, l’arrêt Schrems 2 a changé la donne. Il a tout d’abord totalement interdit les transferts de données effectués dans le cadre du Privacy shields, l’outil homologué jusqu’à présent pour les transferts vers les sociétés américaines adhérentes à ce système. L’arrêt a également remis en cause la licéité automatique des transferts fondés sur les autres outils comme les clauses contractuelles type. Tous les transferts en dehors de l’Union vers des pays non adéquats doivent maintenant faire l’objet d’une évaluation de risque selon une méthodologie particulière en six étapes par les exportateurs de données. En matière de données de santé, cette évaluation est d’autant plus exigeante. De fait, dans le cas du Health data hub, la Cnil avait exprimé un avis défavorable sur la poursuite du traitement de données avec Microsoft. Le Conseil d’Etat n’a pas entièrement suivi ces observations, avançant l’argument de l’urgence dans le contexte de la crise sanitaire.
La décision du Conseil d’Etat qui vient d’être rendue dans le dossier Doctolib va-t-elle dans le même sens ?
Dans le dossier Doctolib, qui passe par Amazon pour héberger les données de santé et présente donc le même risque d’accès des autorités américaines aux données de santé hébergées, l’urgence est moindre mais surtout la nature des données traitées n’est pas la même. Il s’agit de prises de rendez-vous et non de données sur des pathologies. C’est la raison pour laquelle le Conseil d’Etat vient de rendre une décision de référé (1) dans laquelle il estime que le niveau de protection des données concernées n’est pas manifestement insuffisant et que le traitement peut donc se poursuivre avec Amazon. Ces deux décisions vont dans le même sens. Elles pointent du doigt la particulière attention que l’on doit porter aux données de santé et la fragilité des transferts vers les Etats-Unis qui offrent un cadre juridique à risque. Pour autant, elles valident le recours aux géants américains en mettant en exergue les éléments d’espèces qui permettent de minimiser les risques. La vraie question est surtout, me semble-t-il, peut-on réellement aujourd’hui se passer des Gafam ?
(1). Ordonnance du Conseil d’Etat du 12 mars 2021 n° 450163.
