Cybersécurité, la vision juridique
Locations
L’accélération de la numérisation au sein des établissements de santé, la multiplication des solutions logicielles et des dispositifs médicaux intégrant des applicatifs ou objets connectés, l’intensification de la coordination des soins, à l’hôpital, et avec la ville, et la multiplication des bases de données, constituent de formidables opportunités.
Des opportunités concourant à l’amélioration des conditions de prise en charge des usagers. Des opportunités constituant le terreau d’une médecine de précision, d’une prise en charge plus personnalisée.
Des opportunités d’efficience, et de rationalisation des soins, participant de la transformation de notre système de santé, et ce faisant, à la pérennisation des mécanismes de solidarité.
Des opportunités de recherches et d’innovations.
Avec cependant comme corollaires, une surexposition au risque cyber, des incidents aux impacts organisationnels, humains et financiers lourds, et des violations des données de santé, associées parfois à une diffusion sur le web ou le darkweb.
En matière de prévention du risque cyber, les défis sont bien sûr technologiques et humains :
- technologiques avec une vigilance particulière sur l’interopérabilité entre applications, et sur les solutions de sécurisation de messagerie et des accès à distance ;
- humains avec un enjeu majeur de sensibilisation ; la protection du système d’information et de ses données relevant d’un effort quotidien, à la fois individuel de chaque utilisateur, et collectif, impliquant la sécurité, et également les achats, la qualité, la conformité, la direction juridique, le DPO…
S’agissant des instruments juridiques, ils s’articulent principalement autour, d’une part, de la mise en œuvre de la protection des données et l’encadrement des prestataires, et d’autre part, de la réaction en cas de violation.
La protection des données repose largement sur le choix des prestataires et sous-traitants afin de s’assurer qu’ils présentent les garanties suffisantes [1] quant à la mise en œuvre de mesures techniques et organisationnelles appropriées [2], et sur les exigences auxquelles ils sont contractuellement soumis.
A cet égard, il appartient à l’établissement, outre les clauses obligatoires au titre du RGPD, et au titre de la réglementation Hébergeur de Données de Santé, de requérir la conformité aux référentiels de sécurité et d’interopérabilité -lesquels bien que légalement opposables [3] restent imparfaitement mis en œuvre-, mais aussi la conformité des solutions, connecteurs et services, y incluant support et maintenance, à l’état de l’art.
L’état de l’art constitue désormais d’une notion centrale dans chaque contrat IT, dans le contexte d’un environnement réglementaire foisonnant, et d’exigences très évolutives.
La plupart des exigences relèvent de textes réglementaires, dont :
- la réglementation Hébergement de données de santé (HDS) dont le référentiel de certification est en cours d’évolution, et les enjeux de souveraineté associés ;
- la Directive NIS, transposée en droit national, ayant renforcé la cybersécurité des Opérateurs de Services Essentiels (OSE) ;
- La Directive NIS 2 récemment adoptée –à transposer en droit national sous 21 mois- concernant également les sous-traitants et prestataires de services ayant un accès à une infrastructure critique.
D’autres exigences relèvent de référentiels portant des recommandations, dont récemment le Guide sur la cybersécurité des DM et DMDIV de l’ANSM.
Au regard de ce qui précède, la rédaction et négociation des contrats IT apparaissent cruciales afin de permettre à l’établissement de bénéficier d’engagements limitant les risques en matière de sécurité, mais aussi les risques de sanctions des autorités (outre celles prévues au RGPD, bientôt celles de NIS 2 similaires), et lui garantissant une évolution des solutions et services dans des conditions équilibrées, pendant toute la durée d’amortissement.
La réaction à une éventuelle cyberattaque devient, dans le même sens, un enjeu majeur, non seulement à l’égard du soutien qu’elle déclenchera, mais également au regard d’un objectif de limitation de responsabilité, étant rappelé que les incidents doivent désormais être déclarés à l’ANS [4] laquelle fera le lien avec l’ANSSI, outre, en cas de violations engendrant un risque pour les droits et libertés des personnes, notifiés à la Cnil, sans préjudice d’une plainte pénale.
Ou comment la cybersécurité est devenue un sujet presque aussi juridique que technique…
[1] Au sens de l’art. 28.1 RGPD
[2] Au sens de l’art. 32 RGPD
[3] L1470-5 CSP
[4] Décret 2022-715 du 27-04-2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d'information
