Protection du risque informatique : quelles sont les règles européennes ?
La législation en vigueur, la Directive NIS, l’accent mis sur les dispositifs médicaux et une comparaison entre les modèles des États membres à la lumière des cyberattaques croissantes contre la santé en Europe.
2020 a été une année marquée par un très grand nombre d’attaques informatiques qui ont concerné de nombreuses Structures Sanitaires en Italie ainsi que dans les autres pays européens. Un rapport de la police des postes et des télécommunications de 2020 a révélé1 que la cible des hackers n’est pas seulement les dossiers médicaux des patients, mais plutôt les systèmes et dispositifs cliniques qu’ils utilisent, ce qui peut entraîner un risque de blocage de l’activité hospitalière. Dès 2008, l’Union européenne, reconnaissant le risque grave pour la santé des patients et la menace globale pour la société d’une attaque informatique dans le domaine de la santé, a inscrit la santé sur la liste des secteurs stratégiques prévus par la Directive 2008/114/CE. Depuis, la législation européenne a continué à évoluer pour faire face à la nouvelle menace. Sanità 360° a rencontré la juriste Delia Roselli, Directrice Juridique de Relyens en Italie pour exposer les modalités d’évolution.
Que prescrit l’Europe aux entreprises de santé pour faire face au risque informatique croissant ?
La protection du risque informatique constitue, comme vous le savez, l’un des fondements de la réglementation européenne des dernières années.
D’abord, la Directive NIS(2) dont l’objectif principal est de renforcer la sécurité informatique dans chaque État Membre.
Le secteur de la santé fait partie des services essentiels auxquels s’applique cette directive : chaque entreprise de santé est donc appelée à adopter des mesures techniques et organisationnelles adaptées à la gestion des risques et à la prévention des accidents.
Outre la Directive NIS, on ne peut négliger l’importance que revêt dans le domaine de la sécurité informatique le Règlement UE 2016/679 (RGPD), qui prescrit une série de mesures préventives pour empêcher la réussite d’une attaque informatique.
D’une importance non négligeable, la Directive UE 2016/680 contenant un ensemble de dispositions en matière de protection des données personnelles applicables dans les cas de traitement des données effectué par les autorités compétentes à des fins de prévention, d’enquête, de constatation d’infractions pénales ainsi que d’exécution de sanctions pénales et de sauvegarde de menaces à la sécurité publique.
Enfin, il convient de citer les Lignes directrices publiées par l’EDPB(3) début 2021 en complément des dispositions du RGPD en matière de violation des données, qui prévoient que chaque Structure de Santé est tenue d’informer ses patients chaque fois qu’elle subit une attaque informatique, même si celle-ci ne comporte pas de fait un vol d’informations de santé des patients et si la structure est en mesure d’en atténuer les effets par une sauvegarde.
Ces précautions sont-elles suffisantes ?
Ce qui est prévu au niveau européen doit être transposé par chaque État membre.
Surtout en lien étroit avec la Directive NIS, une application fragmentaire de celle-ci au niveau local alliée au manque de coopération et de partage dans le processus de diffusion des connaissances informatiques acquises par chaque État, ont renforcé l’idée d’intervenir sur celle-ci en modifiant ses prévisions d’origine.
L’hypothèse d’adoption de la Directive NIS (2) s’est donc renforcée, avec l’extension des dispositions qu’elle contient également à des secteurs non couverts à ce jour par la Directive NIS (parmi lesquels une attention particulière doit être portée à la production de dispositifs médicaux), ainsi que l’inclusion du chiffrement et des contrôles de sécurité informatique des fournisseurs parmi les nouvelles mesures techniques et organisationnelles que chaque État doit adopter pour contenir le risque informatique.
D’après ce qui est publié par l’IAIS (International Association of Insurance Supervisors) dans son dernier rapport ayant pour objet l’assurance des risques informatiques en Europe et des considérations de durabilité du marché de l’assurance dans cette branche, les pratiques actuelles d’assurance de ces risques, bien qu’utiles, ne sont toujours pas optimales.
La cause de cette insuffisance est principalement l’incapacité de mesurer correctement l’exposition au risque, ainsi que la circonstance que tant l’intensité de la surveillance (comme la fréquence des évaluations) que le développement d’outils spécifiques (comme l’utilisation de stress tests) sont proportionnels aux dimensions relatives du marché de l’assurance informatique, qui est actuellement généralement limité.
Quelles sont les différences entre le modèle italien et le modèle français?
S’agissant des différences entre le modèle de protection des risques informatiques en vigueur en Italie et au-delà des Alpes, il convient de citer une institution typique du droit français qui n’a pas d’égale dans notre ordre juridique. Je fais référence à l’hébergement des données de santé, c’est-à-dire l’hébergement des données de santé sur supports numériques.
En partant du principe que les données sanitaires sont des données sensibles dont l’accès est protégé par la réglementation en matière de protection des données personnelles, le législateur français prévoit que l’hébergement de ces données doit être effectué dans des conditions de sécurité adaptées à leur caractère critique afin d’en garantir la confidentialité et la sécurité.
Par conséquent, toute personne physique ou morale hébergeant des données médicales personnelles collectées au cours d’activités de prévention, de diagnostic, de traitement ou de suivi médico-social pour le compte des personnes physiques ou morales ayant produit ou recueilli les données ou pour le compte du patient, doit être approuvée ou certifiée à cette fin.
Conformément au RGPD, les hébergeurs de données médicales sur supports numériques (à l’exception des services de stockage électronique) doivent être certifiés.
L’approbation des hébergeurs est obligatoire pour toutes les organisations qui hébergent et utilisent des données de santé ou qui procèdent à une sauvegarde pour le compte d’une institution de santé.
En savoir plus sur les enjeux de cybersécurité en établissement de santé
La menace du risque cyber qui plane sur les établissements de santé aujourd’hui est bien réelle. De plus en plus de pratiques et de processus sont numérisées ou digitalisées ; les règles et la juridiction se développent. Mais les enjeux de cybersécurité s’accompagne également d’innovations, qui améliorent la qualité du parcours de soin des patients. Si cette thématique vous intéresse, voici une liste d’articles qui abordent cette dualité contemporaine :
- L’intelligence artificielle au service de la sécurité au bloc opératoire,
- La révolution tranquille de la santé : 5 nouveaux défis pour l’avenir de la gestion des risques,
- La numérisation dans les hôpitaux implique de nouveaux risques physiques,
- Protection du risque informatique : quelles sont les règles européennes,
- La loi SEGUR : améliorer le système de santé par la confiance et la simplification et évolution réglementaire.