La recrudescence des cas de vol de données justifie l’adoption de mesures de protection. En effet, les données de santé sont des données personnelles dites sensibles. Elles bénéficient donc d’une protection renforcée au regard du RGPD.
Concernant la notification à l’autorité
En cas de fuite de données, l’article 33 du RGPD organise une notification de la violation à l’autorité de contrôle « 72 heures au plus tard après en avoir pris connaissance».
Il convient d’observer que pour les établissements traitant des données de santé, il existe un dispositif juridique spécifique.
Cette disposition s’applique aussi bien au secteur de la santé civile que dans celui de la santé des armées. L’article L1111-8-2 du Code de la santé publique, prévoit que :
« Les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. »
Dans ce contexte l’ACSS, propose donc un portail facilitant le signalement de chaque incident grave de sécurité.
Ce signalement est ensuite transféré à l’agence régionale de santé compétente, qui le qualifiera.
Si celui-ci est jugé significatif, il sera alors transmis aux autorités compétentes de l’Etat.
Concernant l’information des personnes concernées
Il convient de noter qu’en cas de compromission des données de santé, il n’est pas nécessaire de révéler publiquement l’incident.
Néanmoins, le responsable du traitement des données de santé doit informer la personne concernée de la violation des données.
Autrement dit, cela revient à prévenir le patient dans les meilleurs délais.
Cette communication n’est pas nécessaire si les données de santé volées sont anonymisées ou si cette communication exigerait des efforts disproportionnés.
Bien qualifier l’incident de sécurité est donc primordial.
Les bonnes pratiques pour anticiper une faille de sécurité
Anticiper cette situation peut permettre d’éviter certains écueils.
Parmi les bonnes pratiques, il est ainsi recommandé de :
- sensibiliser les équipes au cyber risque par des formations, documents de sensibilisation ou autres dispositifs pédagogiques de mise en situation,
- mettre en place une politique de gestion des incidents qui fait partie des mesures organisationnelles et techniques prévues par le RGPD,
- organiser avec le Délégué à la Protection des Données (DPO) une procédure dédiée à la qualification juridique des incidents afin de déterminer si des notifications sont nécessaires et de piloter lesdites notifications,
- veiller à disposer d’une assurance couvrant le risque cyber.
