La question de la protection des données de santé est inflammable. La France a certes été pionnière en structurant un cadre juridique de l’accès aux données conforté par le contrôle de la Cnil, et au plan européen par le RGPD. Mais les cyberattaques fragilisent aujourd’hui l’édifice en dépit des efforts de prévention et de l’émergence du délégué à la protection des données (DPO).
Inquiétude et incompréhension. C’est en substance le climat réservé aux données de santé. Malgré des obligations légales et réglementaires strictes en matière de protection des données personnelles, notamment le règlement général sur la protection des données (RGPD) en vigueur depuis le 25 mai 2018 au sein de l’Union européenne, de nombreux incidents émaillent la digitalisation de la société. En février dernier, 33 millions de personnes ont ainsi été concernées par les cyberattaques ayant visé Viamedis et Almerys, deux gestionnaires du système de tiers payant. La Commission nationale de l’informatique et des libertés (Cnil), le gendarme français des données, a aussitôt diligenté des investigations et précisé dans un communiqué que les données dérobées concernaient « l’état civil, la date de naissance, le numéro de Sécurité sociale, ainsi que les différentes garanties du contrat souscrit ». Les organismes complémentaires ne sont pas les seuls touchés. Les établissements de santé sont fréquemment visés : le Centre hospitalier Sud Francilien de Corbeil-Essonnes a fait l’objet d’une attaque de type ransomware, tout comme l’hôpital d’Armentières (Nord) ou l’hôpital André Mignot (Yvelines) avant lui. Les paralysies informatiques consécutives à ces cyberattaques ont affecté la prise en charge des malades. « En mars 2021, ce sont des laboratoires d’analyses médicales qui avaient vu les données personnelles de près de 500 000 patients faire l’objet d’une atteinte cyber », se remémore Mathieu Bui, avocat associé (Jasper avocats).