Les risques émergents

MACSF Exercice Professionnel
Notre expertise sur la responsabilité médicale
       et votre exercice professionnel

Les risques émergents

  • Réduire le texte de la page
  • Agrandir le texte de la page
  • Facebook
  • Twitter
  • Messages0
  • Imprimer la page

Les incidents liés à la sécurité des systèmes d’information se multiplient dans le monde. La France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Tous les secteurs d’activités sont concernés, y compris celui de la santé.

Auteur : Delphine Roussel, juriste assurance expert MACSF - Le Sou Médical / MAJ : 09/10/2018

Selon un article paru dans « Lexsi Security Hub », près de 90% des cyber-attaques sur le deuxième trimestre 2016 ont visé des établissements de santé dans le monde. Or dans ce secteur, les incidents liés à la sécurité des systèmes d’information peuvent avoir un impact direct sur la sécurité des soins et donc constituer une source potentielle de nouveaux contentieux.  

Leur traitement est donc devenu une priorité pour les pouvoirs publics, dont l’objectif est de renforcer la gestion de la sécurité informatique en santé.

Deux axes sont préconisés :

La lutte contre le piratage informatique dans les établissements de santé

En fin d’année la Direction Générale de l’Offre de Soins (DGOS) a publié un mémento sur la cybersécurité intitulé « Connaître vos risques pour mieux y faire face ».

Il est principalement destiné aux Directions (Directeur, Président de la CME, Directeur des soins, DRH) des établissements de santé, publics comme privés pour "les éclairer sur la sécurité des systèmes d’information, ses enjeux, le contexte réglementaire et les actions clés à réaliser". Toutefois selon les termes de la DGOS, « il peut être lu par l’ensemble des professionnels de santé et des cadres de ces établissements ».

La DGOS y insiste sur la nécessité de sécuriser les systèmes d’information (SI) des établissements de santé publics, comme privés, "afin de maintenir la confiance des patients dans le système de santé" et des professionnels dans les outils utilisés.

Une ordonnance du 12 janvier 2017 (n° 2017‐27) codifiée à l’article L.1111‐8 du code de la santé publique, relative à l’hébergement de données de santé à caractère personnel est venue encadrer le dispositif.

Le signalement d’incidents graves de sécurité des systèmes d’information des établissements de santé

Depuis le 1er octobre 2017, les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins doivent signaler sans délai à l’agence régionale de santé (l’ARS) les incidents graves de sécurité des systèmes d’information.

Cette nouvelle disposition a été introduite à l’article L.1111-8-2 du code de la santé publique par la loi de modernisation de notre système de santé du 26 janvier 2016. Pris en application de ce texte, le décret n°2016-1214 du 12 septembre 2016 définit les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information.

L’ensemble de ces nouvelles dispositions s’inscrit dans le cadre beaucoup plus large imposé par le règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD) dont les mesures sont entrées en vigueur le 25 mai 2018.