Suite à la cyberattaque dont l’éditeur de logiciel WEDA a fait l’objet, la CSMF a saisi dès ce matin la Ministre pour solliciter un appui opérationnel pour les médecins concernés et protecteur des patients.
Dans l’attente, la CSMF conseille :
- De vérifier si le mot de passe utilisé pour le logicial WEDA est utilisé pour d’autres comptes professionnels, auquel cas changer de mot de passe.
- De mettre rapidement en place une information “générale”, proportionnée et raisonnable vis-à-vis des patients.
En l’absence de liste de patients exportable et face à un volume trop élevé, l’obligation d’information RGPD peut être remplie par des moyens adaptés aux circonstances, dès lors que :
- les médecins ont fait tout ce qui est raisonnablement possible,
- les moyens d’information ne dépendent pas uniquement d’eux,
- le prestataire (Weda) a été formellement mis devant ses responsabilités.
Moyens recommandés immédiatement :
Mettre un avis visible dans :
- La salle d’attente
- Sur la plateforme de prise de rendez-vous
- Le site internet du cabinet
- Le serveur vocal du cabinet (message d’attente téléphonique)
Exemple de texte :
« Notre logiciel médical Weda a été victime d’une cyberattaque. Certaines données personnelles ou médicales ont pu être potentiellement concernées. Le cabinet reste mobilisé pour assurer la continuité des soins. Pour toute question, vous pouvez nous contacter lors de votre prochaine venue. Dès que Weda fournira des informations complètes et fiables, nous vous en informerons. »
Cette information générale suffit temporairement, dans l’attente de précisions du prestataire.
- Documenter son impossibilité matérielle d’informer individuellement chacun des patients concernés
Les médecins doivent prouver qu’ils ne sont pas opposés à informer, mais qu’ils en sont matériellement empêchés.
Recommandations : Rédiger une note interne datée décrivant : le nombre de patients, l’impossibilité technique (pas d’accès aux listes), l’impossibilité logistique (pas de secrétaire par ex), absence de moyens fournis par Weda.
Cette documentation protège juridiquement en cas de question de la CNIL ou d’une juridiction.
- Mettre formellement Weda devant ses responsabilités
Il est crucial que les médecins n’acceptent pas implicitement d’être tenus pour responsables. Ils doivent envoyer un courrier recommandé ou e-mail formel (à Weda + DPO + support).
INFO URGENTE :
REPONSES DU MINISTERE SUITE A LA CYBERATTAQUE DE L’EDITEUR WEDA
Les préoccupations concernant le rôle du Responsable de Traitement (RT) (le médecin) et du Sous-Traitant (ST) (l’éditeur Weda) en matière de violation de données sont tout à fait légitimes, en particulier face à l’injonction d’informer les patients.
1. Notification à la CNIL (Art. 33 RGPD)
· Responsabilité: La notification incombe au Responsable de Traitement (le médecin), au plus tard 72 heures après en avoir eu connaissance.
· Point de départ du délai: Le délai commence à courir lorsque le RT parvient à qualifier la violation de données personnelles (incident avéré affectant des données personnelles). Durant la phase d’investigation par le sous-traitant, le délai ne court pas.
· Devoir d’assistance du ST: Le sous-traitant (Weda) a le devoir (Art. 28, f) de mener les investigations et de fournir au RT tous les éléments utiles pour procéder à sa notification à la CNIL. L’éditeur Weda, en tant que sous-traitant, ne peut pas se substituer à l’obligation du médecin, mais doit lui fournir le support pour qu’il puisse respecter le délai. L’information de Weda sur la notification initiale semble être une tentative d’assistance en ce sens.
=> Conclusion de notre analyse sur les obligations CNIL: Étant donné que Weda a déjà notifié l’incident et que les médecins ont des difficultés à qualifier la violation par eux-mêmes, il n’est pas nécessaire pour les médecins de reboucler avec la CNIL à ce stade comme nous l’avions initialement envisagé. La priorité est de s’assurer que Weda remplit son devoir d’assistance.
2. Information des personnes concernées (patients) (Art. 34 RGPD)
· Obligation du RT (médecin): L’information incombe également au Responsable de Traitement (le médecin) et doit intervenir dans les meilleurs délais si la violation engendre un risque élevé pour les droits et libertés des patients.
· Contenu de l’information: Elle doit a minima contenir la nature et les conséquences probables de la violation, les coordonnées du contact, et les mesures prises pour remédier à l’incident et limiter ses conséquences.
· Condition préalable: L’information aux patients ne doit pas avoir lieu avant :
1. Que le risque élevé pour les personnes ne soit qualifié.
2. Que le RT ne dispose des éléments complets que doit contenir l’information (fournis par le sous-traitant).
· Conclusion sur l’information des patients:
Le courrier de Weda indique que l’éditeur estime que le risque est potentiellement élevé et recommande une communication globale. Toutefois, Weda doit fournir la preuve et la justification du risque élevé et transmettre tous les éléments complets nécessaires au contenu de l’information (conséquences précises, mesures détaillées, etc.) pour que le médecin (RT) puisse procéder.
L’exigence faite aux praticiens de contacter individuellement, par exemple 10 000 patients, dont une majorité n’a ni email ni portable, parait disproportionnée et irréaliste dans les conditions actuelles (charge de travail, absence de secrétaire, coût). Le principe de proportionnalité devrait s’appliquer aux modalités de cette information, et l’affichage en cabinet, tel qu’envisagé par le Dr Perret, pourrait être une solution proportionnée dans l’attente d’une clarification. => Mais cela sera à rediscuter avec la CNIL lorsque les investigations auront permis de préciser la réalité des faits.
Prochaines étapes et actions
Nous prenons acte de cette maladresse de communication de Weda et de la nécessité d’une doctrine claire comme vous l’avez sollicité. Nos actions vont donc se concentrer sur les points suivants :
1. Intervention auprès de Weda :
1. Nous avons partagé cette analyse RGPD avec Weda et leur avons demander de proportionner leurs demandes auprès des médecins pour ne pas ajouter de contraintes supplémentaires qui ne serait pas jugée directement nécessaire par la CNIl.
2. Poursuivre l’accompagnement de l’éditeur par les agences dédiées (ANSSI) pour les aider à caractériser la réalité des fuite de données, ce qui permettra ensuite de définir les mesures RGPD adéquates.
2. Clarification et doctrine nationale : Dès que les faits seront avérés et objectivés, nous solliciterons la CNIL et l’ANSSI avec les nouveaux éléments de contexte, non pas pour une notification (comme cela était demandé par Weda aux médecins), mais pour obtenir une doctrine d’urgence et proportionnée sur les modalités d’information des patients (Art. 34), prenant en compte les réalités du terrain (par exemple : zones sous-denses, absence de coordonnées électroniques).
3. Soutien aux professionnels : le CORRUS centre opérationnel de régulation des réponses aux urgences sanitaires et sociales a été saisi de la situation provoqué par cette indisponibilité de Weda et est en train d’en évaluer les conséquences et actions nécessaires. Les ARS et CPAM ont également été informées et sont en train d’évaluer la meilleure façon de répondre aux besoins des professionnels impactés. Ministère (DNS)