Point de vigilance : Secret médical et protection des données personnelles - 2 mars 2021

Réuni le 2 mars 2021, le CCL-COVID a examiné un projet de points de vigilance relatif au secret médical et à la protection des données personnelles. Une dernière version de ce projet a été adressée aux membres du comité, le 8 mars 2021, pour adoption.

- La transition numérique dans le champ du système de santé s’observe au quotidien. La crise sanitaire liée à la pandémie de Covid-19 a renforcé sa dynamique. Elle est porteuse d’opportunités pour les usagers du système de santé (ex. : télémédecine, objets connectés, données massives, …) mais également de menaces. Celles-ci sont en forte croissance. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) recense actuellement une tentative d’attaque par semaine environ sur des infrastructures de la chaîne hospitalière.
Le Centre Hospitalier de Dax Côte-d’Argent et l’hôpital de Villefranche-sur-Saône ont fait l’objet d’attaques par rançongiciels en février 2021.

- Les médias se sont également fait l’écho, très récemment, du piratage, en France, d’informations médicales confidentielles issues de laboratoires de biologie et concernant près de 500.000 personnes. Sur cette dernière situation, la Commission nationale de l’informatique et des libertés (CNIL), le 24 février 2021, précisait :
« (…) il incombe aux organismes concernés … de procéder à une notification auprès de la CNIL, dans les 72 heures suivant le moment où ils en ont pris connaissance. En outre, lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne ».

- Le président de la République a annoncé, le 18 février 2021, une stratégie nationale de cybersécurité.

Le CCL-COVID présente les points de vigilance suivants :

  1. La sécurité des systèmes d’information et des bases de données, un impératif ;
  2. La mise en œuvre effective des textes législatifs et réglementaires, une nécessité ;
  3. L’information des personnes concernées par la divulgation de données confidentielles, une obligation ;
  4. La confiance et l’adhésion à la transition numérique, un enjeu essentiel ;
  5. L’audition des acteurs et des organismes engagés dans la sécurité des systèmes d’information, un atout.
Point de vigilance du 02.03.21 "Secret médical et protection des données personnelles"