Résultats de bilans sanguins, e-mail, adresse personnelle, traitements ou indice de masse corporelle… A chaque fois que nous consultons un professionnel de santé ou que nous réalisons des examens médicaux, nos données personnelles sont stockées. Ces informations privées et intimes sont strictement encadrées et protégées par la législation française, mais il peut arriver qu’elles soient volées et dévoilées par des hackers. C’est ce qu’il s’est passé fin février : un pirate informatique a divulgué les informations médicales de 500.000 Français.

Coordonnées des assurés (numéros de téléphone, adresses, e-mails), groupes sanguins, numéros de sécurité sociale, liste des laboratoires qui ont eu accès à ces informations médicales ont été visés. La plupart des données provenaient d’une attaque perpétrée à l’encontre d’une trentaine de laboratoires. Selon une enquête de Libération, il s’agirait d’entreprises médicales situées dans le Morbihan, les Côtes-d’Armor, l’Eure, le Loiret et le Loir-et-Cher.

Un cadre législatif strict

Le premier risque, pour les personnes qui ont vu leurs informations médicales fuiter, est une multiplication des sollicitations malveillantes. Les listes d’e-mails, d’adresses et de numéros de téléphone sont prisées par les pirates, qui s’en servent pour inonder leurs correspondants d’appels et de courriels de démarchage. L’usurpation d’identité, notamment pour des soins médicaux, fait aussi partie des intentions des malfaiteurs.

Pourtant, la France possède un régime juridique strict et particulier pour protéger les données médicales de ses concitoyens. Trois textes constituent le socle de cette réglementation : la loi Informatique et libertés de 1978, le Code de la santé publique et le règlement sur la protection des données du 25 mai 2018. La Commission nationale de l’informatique et des libertés, la CNIL, participe aussi à la surveillance de ces informations privées et œuvre auprès des professionnels de santé afin de les renseigner sur les bonnes pratiques à mettre en place afin de sécuriser au maximum ces contenus. Quel que soit le support – informatique ou papier –, les données de santé personnelles sont ainsi soumises au strict respect de ces textes législatifs.

Un hébergement spécifique

Les professionnels de santé ont donc des obligations quant aux données qu’ils collectent de leurs patients. Pour ceux qui stockent ces informations informatiquement, un premier devoir s’impose : les éléments récupérés doivent être hébergés auprès d’entreprises agréées. En France, depuis 2018, la certification « hébergeur en données de santé » le permet. Elle est obligatoire pour tous les acteurs qui recueillent des données de santé à caractère personnel « à l’occasion d’activités de prévention, de diagnostics, de soins ou de suivi médico-social ». La liste des hébergeurs certifiés est disponible sur le site esante.gouv.fr.

Cet encadrement permet, par exemple, à un pharmacien de stocker des données issues de la lecture d’une carte Vitale d’un patient sur des serveurs spécialement habilités à recevoir des données à caractère personnel. En plus d’héberger leurs contenus sur des plateformes sécurisées, les professionnels doivent se prémunir contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle de ces données. Cela passe alors par l’utilisation d’une carte professionnelle de santé, par des mots de passe personnels ou encore l’utilisation d’un système de chiffrement fort.