Passer au contenu principal

Cyberattaque sur votre logiciel médical : ce que vous devez savoir et faire

Face à la multiplication des cyberattaques touchant les éditeurs de logiciels de santé, vous pouvez être confrontés à des situations où des données personnelles , parfois même des données de santé, ont été compromises sans que le cabinet n’en soit directement à l’origine. Ces incidents, de plus en plus fréquents, imposent néanmoins aux médecins, en tant que responsables du traitement des données de leurs patients, de prendre rapidement certaines dispositions afin de protéger ces derniers et de respecter le cadre réglementaire.

1. Évaluer la situation et collecter les informations auprès de l’éditeur

Le sous-traitant (éditeur) doit vous transmettre :

  • les éléments permettant de qualifier l’incident,
  • la liste ou l’étendue des données potentiellement concernées,
  • les mesures correctives engagées

Votre obligation débute une fois que vous disposez d’informations suffisamment complètes pour qualifier la violation.

2. Informer les patients : une obligation du médecin, mais proportionnée

Au titre de l’article 34 RGPD, vous devez, en tant que responsable de traitement, informer les patients en cas de risque élevé pour leurs droits. Toutefois :

  • En l’absence de liste exploitable ou lorsque le volume rend impossible une information individuelle, une information générale, visible et accessible peut suffire temporairement.

Il est donc recommandé d’afficher une information :

  • dans la salle d’attente,
  • sur la plateforme de prise de rendez-vous,
  • sur votre site internet,
  • dans votre message vocal d’attente.

3. Documenter votre impossibilité d’informer individuellement

Il est essentiel de rédiger une note interne datée, précisant :

  • le nombre approximatif de patients,
  • l’absence de liste fournie par l’éditeur,
  • les moyens logistiques indisponibles,
  • votre volonté d’informer dès que possible.

Cette documentation protège en cas de contrôle CNIL.

4. Notification à la CNIL

L’obligation de notification (art. 33 RGPD) relève également du Responsable de traitement.
Elle se fait sur le téléservice de la CNIL : https://notifications.cnil.fr/notifications/index

Cependant :

  • le délai de 72 h ne court qu’une fois la violation qualifiée,
  • le sous-traitant doit fournir les éléments techniques nécessaires,
  • si l’éditeur a déjà notifié la CNIL, vous n’avez pas à doubler la notification tant que vous ne disposez pas d’informations complète.

L’éditeur de logiciel peut aussi vous proposer de réaliser pour vous cette démarche auprès de la CNIL.

5. Le cas échéant, mettre formellement votre éditeur devant ses responsabilités en lui adressant un courrier ou email formel :

  • rappelant son rôle de sous-traitant,
  • demandant les informations nécessaires au respect de vos obligations,
  • consignant son absence de fourniture d’éléments si c’est le cas.

En résumé

En cas de fuite de données chez votre éditeur :

  1. Recueillir les éléments techniques auprès de l’éditeur.
  2. Informer de manière générale vos patients en attendant mieux.
  3. Documenter vos contraintes pour justifier votre impossibilité d’informer individuellement.
  4. Notifier la CNIL uniquement lorsque l’incident est qualifié et les éléments complets reçus.
  5. Mettre en demeure l’éditeur de fournir ces éléments.

Si vous souhaitez recevoir un modèle d’affichage patients ou un modèle de courrier à l’éditeur : contactez-nous.

Cyberattaque WEDA : ce que vous devez faire sans attendre !
Publié le : Mis à jour le :