La numérisation du secteur de la santé a profondément transformé la gestion des données médicales, offrant des opportunités inédites en matière de soins tout en créant de nouvelles vulnérabilités. Face à l’augmentation des cyberattaques ciblant les établissements de santé, le cadre juridique de la cybersécurité sanitaire s’est considérablement renforcé. Les données de santé, par leur caractère sensible, nécessitent une protection accrue que le législateur a progressivement mise en place. Ce domaine juridique, à l’intersection du droit de la santé et du droit du numérique, constitue aujourd’hui un pilier fondamental pour garantir tant la continuité des soins que la confiance des patients dans le système de santé numérisé.
Cadre juridique de la protection des données de santé
Le droit européen a posé les fondations d’un régime protecteur des données de santé avec l’adoption du Règlement Général sur la Protection des Données (RGPD) en 2016. Ce texte majeur qualifie les données de santé comme des données sensibles bénéficiant d’une protection renforcée. L’article 9 du RGPD pose un principe d’interdiction de traitement de ces données, assorti d’exceptions strictement encadrées, notamment pour les finalités de médecine préventive, de diagnostics médicaux ou de gestion des systèmes de soins de santé.
En droit français, le Code de la santé publique et la loi Informatique et Libertés complètent ce dispositif. La loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé a renforcé les mesures de sécurité applicables aux données médicales, notamment avec la création de l’Espace Numérique de Santé (ENS) et du Dossier Médical Partagé (DMP).
Le Health Data Hub, plateforme française des données de santé, illustre la volonté du législateur de concilier innovation et protection des données. Sa mise en œuvre a toutefois suscité des débats juridiques quant à l’hébergement des données, rappelant l’importance des questions de souveraineté numérique en matière de santé.
Certification des hébergeurs de données de santé
Le dispositif de certification des Hébergeurs de Données de Santé (HDS) constitue une spécificité française. Instauré par l’ordonnance du 12 janvier 2017, ce mécanisme impose aux prestataires proposant un service d’hébergement de données de santé d’obtenir une certification délivrée par un organisme accrédité. Cette exigence vise à garantir un niveau élevé de sécurité et de confidentialité pour les données médicales.
La certification HDS comporte six exigences principales :
- La politique de sécurité des systèmes d’information
- L’organisation de la sécurité
- La sécurité des ressources humaines
- La gestion des actifs
- Le contrôle d’accès
- La gestion des incidents de sécurité
Le non-respect de cette obligation de certification est sanctionné par l’article 226-17-1 du Code pénal, qui prévoit une peine de trois ans d’emprisonnement et 100 000 euros d’amende. Cette sanction témoigne de l’importance accordée par le législateur à la protection des données de santé.
Obligations spécifiques des établissements de santé en matière de cybersécurité
Les établissements de santé, qu’ils soient publics ou privés, sont soumis à des obligations renforcées en matière de cybersécurité. La directive NIS (Network and Information Security) transposée en droit français par la loi du 26 février 2018, identifie les établissements de santé comme des Opérateurs de Services Essentiels (OSE). Ce statut leur impose des mesures de sécurité spécifiques et une obligation de notification des incidents de sécurité à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
L’instruction ministérielle du 13 janvier 2021 relative à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) renforce ce dispositif en définissant un cadre de référence pour tous les acteurs du secteur. Cette politique impose la mise en place d’une gouvernance de la sécurité avec la nomination obligatoire d’un Responsable de la Sécurité des Systèmes d’Information (RSSI) dans les établissements de santé.
La Haute Autorité de Santé (HAS) intègre désormais les critères de cybersécurité dans sa procédure de certification des établissements. Le manuel de certification pour la qualité des soins publié en 2020 comporte un critère spécifique (3.6-04) relatif à la sécurité du système d’information, évaluant notamment la mise en œuvre d’un plan de sécurité, la réalisation d’analyses de risques et la sensibilisation du personnel.
Plan de continuité d’activité et gestion de crise
Face à la recrudescence des cyberattaques ciblant les hôpitaux, l’élaboration d’un Plan de Continuité d’Activité (PCA) est devenue une obligation légale pour les établissements de santé. Ce plan doit prévoir des procédures dégradées permettant de maintenir les activités critiques en cas d’incident de sécurité majeur.
La circulaire interministérielle du 5 juillet 2022 relative à la protection contre les cyberattaques des systèmes d’information des établissements de santé a précisé les mesures organisationnelles à déployer, notamment :
- La mise en place d’une cellule de crise cyber
- L’élaboration de procédures de gestion d’incident
- La réalisation d’exercices de simulation d’attaque
- La constitution d’un kit de médiatisation de crise
Le décret du 27 mai 2021 relatif au signalement des incidents graves de sécurité des systèmes d’information des établissements de santé impose par ailleurs une obligation de notification des cyberattaques à l’Agence du Numérique en Santé (ANS) et à l’Agence Régionale de Santé (ARS) dans un délai de 72 heures, en complément de la notification à l’ANSSI.
Responsabilités juridiques et régime de sanctions
La violation des obligations en matière de cybersécurité sanitaire peut engager plusieurs formes de responsabilité. La responsabilité administrative des établissements publics de santé peut être engagée en cas de défaillance dans la protection des données des patients. Le Conseil d’État a confirmé cette approche dans sa décision du 19 juillet 2019 concernant l’Assistance Publique-Hôpitaux de Paris (APHP), soulignant l’obligation de moyens renforcée pesant sur les établissements en matière de sécurité informatique.
Pour les acteurs privés, la responsabilité civile peut être invoquée sur le fondement de l’article 1242 du Code civil. La jurisprudence tend à reconnaître une obligation de sécurité de résultat concernant la protection des données de santé, comme l’illustre l’arrêt de la Cour d’appel de Paris du 7 mars 2022 condamnant un laboratoire d’analyses médicales pour défaut de sécurisation de sa base de données.
Sur le plan pénal, outre les sanctions spécifiques prévues par la loi Informatique et Libertés et le RGPD, le Code pénal sanctionne :
- L’atteinte au secret professionnel (art. 226-13) : un an d’emprisonnement et 15 000 euros d’amende
- L’accès frauduleux à un système de traitement automatisé de données (art. 323-1) : deux ans d’emprisonnement et 60 000 euros d’amende
- L’entrave au fonctionnement d’un tel système (art. 323-2) : cinq ans d’emprisonnement et 150 000 euros d’amende
Pouvoirs de contrôle et sanctions de la CNIL
La Commission Nationale de l’Informatique et des Libertés (CNIL) dispose de pouvoirs étendus en matière de contrôle du respect des obligations de sécurité des données de santé. Ses pouvoirs de sanction ont été considérablement renforcés par le RGPD, lui permettant d’infliger des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
La décision du 28 juillet 2020 sanctionnant un centre hospitalier à hauteur de 10 000 euros pour défaut de sécurisation des données médicales illustre cette nouvelle approche répressive. Plus récemment, la sanction de 1,5 million d’euros prononcée le 15 décembre 2022 contre un groupe de cliniques pour insuffisance des mesures de sécurité confirme la vigilance accrue de l’autorité de contrôle dans le secteur sanitaire.
Le référentiel relatif aux traitements de données à caractère personnel pour les cabinets médicaux et paramédicaux publié par la CNIL en 2020 constitue un guide pratique pour les professionnels de santé, définissant les mesures techniques et organisationnelles minimales à mettre en œuvre.
Enjeux juridiques des nouvelles technologies en santé
L’émergence de la télémédecine et des objets connectés de santé soulève des problématiques juridiques spécifiques en matière de cybersécurité. Le décret du 19 octobre 2010 relatif à la télémédecine, modifié en 2018, impose des exigences particulières concernant l’authentification des professionnels de santé, l’identification des patients et la traçabilité des échanges. Ces actes médicaux à distance nécessitent des mesures de sécurité renforcées pour garantir la confidentialité des échanges et l’intégrité des données transmises.
Les dispositifs médicaux connectés sont soumis au règlement européen 2017/745 relatif aux dispositifs médicaux, qui intègre des exigences de cybersécurité dans le processus de certification. L’annexe I de ce règlement précise que les dispositifs doivent être conçus de manière à garantir leur résistance aux tentatives d’accès non autorisé susceptibles de compromettre leur fonctionnement normal.
L’Agence Nationale de Sécurité du Médicament (ANSM) a publié en 2019 des recommandations spécifiques sur la sécurisation des dispositifs médicaux connectés, préconisant notamment :
- L’intégration de la sécurité dès la conception (security by design)
- La mise en œuvre du chiffrement des données
- La réalisation d’audits de sécurité réguliers
- L’établissement d’un processus de gestion des vulnérabilités
Intelligence artificielle et big data en santé
L’utilisation de l’intelligence artificielle (IA) en santé pose des défis juridiques majeurs en matière de cybersécurité. La proposition de règlement européen sur l’IA présentée en avril 2021 classe les applications médicales comme des systèmes à haut risque, soumis à des obligations renforcées en termes de robustesse technique et de résistance aux cyberattaques.
En droit français, le Comité National Pilote d’Éthique du Numérique (CNPEN) a formulé des recommandations sur l’encadrement juridique des systèmes d’IA en santé, soulignant la nécessité d’une certification spécifique intégrant des critères de cybersécurité. Le projet de certification des algorithmes d’IA en santé porté par la HAS depuis 2021 devrait intégrer ces préoccupations.
Le traitement massif de données de santé (big data) pour la recherche médicale ou l’élaboration de politiques de santé publique est encadré par des dispositions spécifiques. La méthodologie de référence MR-004 adoptée par la CNIL définit les conditions de mise en œuvre des traitements de données à caractère personnel à des fins de recherche, incluant des mesures de sécurité adaptées aux risques inhérents à ces traitements de grande ampleur.
Vers un renforcement de la coopération internationale face aux cybermenaces sanitaires
La dimension transfrontalière des cyberattaques contre les systèmes de santé exige une approche coordonnée au niveau international. L’Organisation Mondiale de la Santé (OMS) a lancé en 2020 une initiative mondiale pour la cybersécurité en santé, visant à harmoniser les pratiques et à faciliter le partage d’informations sur les menaces. Cette démarche s’est traduite par la publication de lignes directrices sur la protection des infrastructures critiques de santé.
Au niveau européen, la directive NIS 2 adoptée en décembre 2022 renforce considérablement les obligations de cybersécurité applicables au secteur de la santé. Elle élargit son champ d’application à l’ensemble des établissements de santé, y compris les laboratoires d’analyses médicales et les fabricants de dispositifs médicaux critiques. Sa transposition en droit français, prévue avant septembre 2024, devrait conduire à un renforcement significatif du cadre juridique existant.
Le règlement européen sur la résilience opérationnelle numérique (DORA) adopté en 2022, bien que principalement destiné au secteur financier, pourrait inspirer une réglementation similaire pour le secteur de la santé. Il introduit des exigences détaillées concernant la gestion des risques liés aux tiers et les tests de résilience qui pourraient être adaptées au contexte médical.
Partage d’informations et cyber-résilience
La mise en place de mécanismes de partage d’informations sur les cybermenaces constitue un axe majeur de développement du droit de la cybersécurité en santé. Le Computer Security Incident Response Team (CSIRT) santé, créé en 2017 sous l’égide de l’ANS, illustre cette approche collaborative. Ce dispositif permet aux établissements de santé de bénéficier d’alertes précoces et de recommandations techniques face aux menaces émergentes.
La stratégie nationale de cybersécurité du secteur de la santé présentée en février 2023 prévoit le renforcement de ce dispositif avec la création d’un Health-CERT (Computer Emergency Response Team) dédié au secteur sanitaire. Cette structure, inspirée des modèles existants dans d’autres pays comme les États-Unis ou l’Allemagne, devrait faciliter la coordination des réponses aux incidents de sécurité majeurs.
Sur le plan juridique, le secret des affaires peut constituer un frein au partage d’informations sur les vulnérabilités découvertes. La loi du 30 juillet 2018 relative à la protection du secret des affaires, transposant la directive européenne 2016/943, prévoit toutefois une exception lorsque la divulgation vise à protéger l’intérêt général, ce qui pourrait s’appliquer en matière de cybersécurité sanitaire.
Le développement de la cyber-résilience des établissements de santé passe enfin par l’élaboration de normes techniques adaptées. Le référentiel de cybersécurité pour les établissements de santé publié par l’ANS en 2022 constitue une première étape vers la définition d’un standard sectoriel. Sa valeur juridique reste toutefois indicative, même si les tribunaux pourraient s’y référer pour apprécier le respect de l’obligation de sécurité.
Perspectives d’évolution du cadre juridique face aux défis émergents
L’accélération de la transformation numérique du secteur de la santé, amplifiée par la crise sanitaire, appelle une adaptation continue du cadre juridique. Plusieurs évolutions sont envisageables pour renforcer la protection des systèmes d’information de santé face aux menaces croissantes.
La création d’un régime de responsabilité spécifique aux incidents de cybersécurité en santé pourrait clarifier les obligations des différents acteurs. Le projet de directive sur la responsabilité liée à l’IA présenté par la Commission européenne en septembre 2022 pourrait servir de modèle, en instaurant une présomption de causalité facilitant l’indemnisation des victimes de cyberattaques dans le secteur médical.
Le renforcement des obligations d’information des patients en cas de violation de données constitue un autre axe d’évolution. Si le RGPD prévoit déjà une obligation générale de notification, des dispositions sectorielles pourraient préciser les modalités pratiques de cette information dans le contexte médical, notamment concernant les risques spécifiques liés à l’exposition de données de santé.
L’émergence du marché de la cyber-assurance soulève des questions juridiques nouvelles. La Fédération Française de l’Assurance (FFA) a publié en 2021 un livre blanc sur l’assurance cyber des établissements de santé, recommandant l’élaboration d’un cadre contractuel standardisé. Le développement de ce marché pourrait être encouragé par des incitations fiscales ou réglementaires.
Formation et sensibilisation: vers une obligation juridique renforcée
Le facteur humain reste la principale vulnérabilité des systèmes d’information de santé. Le renforcement des obligations de formation pourrait passer par l’intégration de modules de cybersécurité dans les cursus des professionnels de santé. L’arrêté du 8 avril 2020 relatif au second cycle des études de médecine a déjà introduit des compétences numériques dans le référentiel de formation, mais une approche plus systématique serait nécessaire.
Pour les professionnels en exercice, l’inscription de la cybersécurité parmi les thématiques prioritaires du Développement Professionnel Continu (DPC) constituerait une avancée significative. Le Conseil National de l’Ordre des Médecins (CNOM) a formulé cette proposition dans son livre blanc sur la santé connectée publié en janvier 2022.
La sensibilisation des patients aux enjeux de la sécurité numérique représente également un défi majeur. La mise en place d’un label de confiance numérique en santé, garantissant le respect des exigences de cybersécurité par les applications et services proposés aux patients, pourrait constituer un outil efficace. Un tel dispositif s’inspirerait du modèle du label e-santé expérimenté par la Délégation Ministérielle au Numérique en Santé (DNS) depuis 2021.
Enfin, l’intégration de la cybersécurité dans la démocratie sanitaire constitue une piste prometteuse. L’implication des représentants des usagers dans l’élaboration et le suivi des politiques de sécurité numérique des établissements pourrait être formalisée, par exemple en élargissant les prérogatives des Commissions des Usagers (CDU) à ces questions.
Le droit de la cybersécurité en santé se trouve ainsi à la croisée des chemins, entre renforcement des obligations existantes et innovations juridiques face aux défis émergents. Son évolution devra concilier l’impératif de protection des données sensibles avec les nécessités de l’innovation médicale, dans un contexte de menaces cyber en constante évolution.