Cybersécurité et vie privée - Partie 1 réglementation et coopération

Les avantages de la numérisation dans le domaine des soins de santé sont indéniables. Cependant, la dépendance numérique accrue pose également des défis, les cyberattaques et fuites de données pouvant avoir des effets perturbateurs. Plusieurs réglementations européennes ont par conséquent été instaurées ces dernières années afin de nous protéger d’individus et d’entreprises malhonnêtes qui manipulent nos données (médicales) confidentielles.

L’Europe

Suite à l’augmentation de la fréquence et de l’ampleur des incidents liés à la cybersécurité, l’Europe a pris des initiatives législatives au cours de ces dernières années, en particulier la directive sur la sécurité des réseaux et des systèmes d’information (« directive NIS ») et l’Acte législatif sur la cybersécurité (« Cybersecurity Act »).

La directive NIS oblige les États membres à améliorer la préparation et la coopération pour prévenir les incidents. Les États membres doivent ainsi surveiller la cybersécurité de secteurs critiques, parmi lesquels le secteur de la santé, disposer d’une équipe d’intervention nationale en cas d’incident de sécurité informatique (« Computer Security Incident Response Team », CSIRT) et coopérer de façon transfrontalière par le biais du réseau EU-CSIRT. Le Cybersecurity Act définit les objectifs, les tâches et l’organisation de l’Agence européenne pour la cybersécurité (ENISA) et crée un cadre européen de certification en matière de cybersécurité pour les produits et processus TIC.

« Le serment d’Hippocrate » 

Comme les entreprises technologiques peuvent faire progresser la santé numérique avec des outils qui complètent les soins médicaux traditionnels et détecter plus rapidement les problèmes de santé, elles doivent tenir compte de la spécificité du secteur des soins. En effet, l’utilisation des données dans le secteur de la santé diffère fondamentalement des autres secteurs, comme les patients ne sont pas des simples consommateurs. Afin d’éviter à l’avenir la divulgation de données de patients, le professeur américain Th. Maddox introduit l’expression « Serment d’Hippocrate pour la santé numérique ». Il affirme que lorsque des données de patients sont nécessaires à la création d’outils de santé numériques, les intervenants ont l’obligation morale et juridique de dire de façon proactive aux patients, au grand public et à chaque collaborateur au sein de leur propre organisation ce qu’ils en font et pourquoi, ainsi que la façon dont ces données seront utilisées et protégées, et en quoi les personnes pourront tirer profit de leur travail à terme. Il veut aussi qu’ils promettent publiquement de n’utiliser ces données qu’au profit des soins apportés aux patients. La RGPD stipule déjà que le traitement des données doit toujours avoir une certaine finalité – délimitée – et que toute personne concernée dont les données sont traitées en soit informée.

Devenez un(e) pro en cybersécurité

Dans l’optique qu’ensemble nous sommes plus forts dans la lutte contre la cybercriminalité, la Cyber Security Coalition a mis sur pied un partenariat entre le monde académique, les autorités publiques et le secteur privé. Son but est de partager l’expérience, de coopérer sur le plan opérationnel, de formuler des recommandations et d’accroître la sensibilisation.

Le Cyber Security Kit et le Guide de Cybersécurité pour les PME sont des outils intéressants téléchargeables gratuitement pour les prestataires de soins de santé.