Une nouvelle strate règlementaire pour les entreprises et établissements de santé

Online Data Security ConceptL’année 2018 sera riche en adaptation et mise en conformité pour les entreprises du secteur de la santé. La protection des données personnelles, des données de santé, la surveillance du produit, le renforcement des procédures de traçabilité, de gestion des risques, et désormais la cyber sécurité, autant de dispositifs qu’il conviendra d’installer dans le fonctionnement des entreprises afin d’être en conformité.

Avec le règlement européen 2016/679 sur la protection des données (RGPD), applicable à compter du 25 mai 2018, et le projet de loi relatif à la protection des données adopté le 13 décembre 2017 en conseil des ministres (projet de loi dit « Cnil 2 »), la directive NIS[1], applicable en droit français à compter du 9 mai prochain, dessine en effet, un nouveau cadre réglementaire en matière de cyber sécurité qui va impacter toutes les entreprises et établissements de santé, dès lors que ceux-ci peuvent être considérés comme des opérateurs qui fournissent des services essentiels (OSE).

La directive a été prise sur le fondement de l’article 114 du Traité sur le fonctionnement de l’Union Européenne en raison du rôle majeur joué par la résilience des réseaux et systèmes informatiques dans le fonctionnement du marché intérieur. Compte tenu de la dimension transnationale des incidents et des risques de cyber-sécurité, la Commission européenne a estimé opportun de développer une action coordonnée au niveau de l’Union, dans le respect du principe de subsidiarité.

Il s’agit de la première initiative de l’Union européenne visant à légiférer de façon globale dans le champ de la cyber-sécurité par le renforcement de la résilience des réseaux et des systèmes d’information des infrastructures critiques. Cette résilience peut se définir comme la capacité de ces réseaux et systèmes de fonctionner à un niveau suffisant pour permettre d’assurer la continuité des services qui en dépendent en cas d’attaques ou d’incidents les affectant.

Venu du secteur de la défense, un dispositif de lutte contre la cybercriminalité applicable au secteur de la santé

Le projet de loi de transposition de la directive NIS a été adopté en première lecture au Sénat le 19 décembre 2017, puis à l’Assemblée nationale le 31 janvier 2018.Ce texte, d’une importance fondamentale, examiné dans le cadre d’une procédure accélérée, s’inscrit dans le prolongement du dispositif de cyber sécurité des opérateurs d’importance vitale (OIV) introduit par le législateur français en 2013[2] dans le cadre de la loi de programmation militaire[3]. Les OIV, privés et publics, sont des opérateurs qui exploitent ou utilisent des installations jugées indispensables pour la survie de la nation et concernent spécifiquement le secteur de la défense.

Le projet de loi prévoit que les opérateurs qui fournissent des services essentiels (OSE) au fonctionnement de l’économie et de la société appliqueront des règles de cyber sécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (Anssi)[4].

  • Les entreprises visées

Sont visés les opérateurs publics ou privés « offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services« .

La liste des OSE doit être établie par le premier ministre et publiée au Journal officiel. Elle devra être « actualisée à intervalles réguliers et au moins tous les deux ans« , précise le projet de loi de transposition.

Les entreprises de services numériques visées par le texte ont été précisées, et sont notamment concernées les places de marché en ligne, « à savoir un service numérique qui permet à des consommateurs ou à des professionnels de conclure des contrats de vente ou de service en ligne avec des professionnels« , les moteurs de recherche en ligne, » à savoir un service numérique qui permet aux utilisateurs d’effectuer des recherches », les services d’informatique « en nuage », (cloud), « à savoir un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées. ». Sont également visés les fournisseurs d’accès à internet.

Concernant le secteur de la santé, selon la directive NIS[5], les prestataires de soins de santé, établissements de santé publics et privés, les industries de santé et prestataires de services numériques en santé doivent être considérés comme des OSE. Plus généralement les entreprises du monde de la santé peuvent aussi être considérés comme des fournisseurs de services numériques (FSM) et donc comme des opérateurs qui fournissent des services essentiels. Ces entreprises seront alors tenues d’assurer la sécurité de leurs services et de notifier leurs incidents à l’Ansii.

Il convient de préciser que la prise de contrôle à distance d’un système informatique reste une finalité voire un préalable de nombreuses attaques informatiques constatées par l’ANSSI. En cas de révélation publique d’un tel événement, l’atteinte à l’image et à la crédibilité est également préjudiciable à sa victime. Ce risque majeur doit en priorité être pris en considération par les entreprises. Le respect de la règlementation et la mise en conformité sont donc des priorités.

  • Les mesures à mettre en œuvre

Les opérateurs doivent prendre les mesures appropriées et proportionnelles pour sécuriser leurs systèmes. Le texte du projet de loi précise que le niveau doit être adapté au risque existant et avoir pour objectif la minimisation des incidents et la continuité des services. Le respect de ces obligations nécessite de mettre en œuvre une analyse des risques.

Les opérateurs doivent notifier, sans retard injustifié, à l’autorité compétente désignée (l’ANSSI), les incidents de sécurité ayant un impact significatif sur la continuité des services essentiels fournis. L’ANSSI pourra informer le public et les Etats membres de l’incident en tenant compte des intérêts économiques des OSE et FSN.

  • Le contrôle par l’ANSSI

Le texte prévoit que les OSE devront informer l’ANSSI des incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent.

Or, concernant le secteur de la santé, les entreprises et établissements de santé devront assurer la transmission d’une information spécifique à l’ANSSI sur les mesures de sécurité. Cette procédure va ajouter une couche réglementaire supplémentaire et alourdir les procédures de contrôle pour les établissements de santé dans la mesure où ils seront tenus, en marge des actions liées à la gestion des risques et qualité, de se préparer à la transmission de ces informations et aux contrôles de l’ANSSI. Ces contrôles, ordonnés par le gouvernement ou par l’ANSSI, seront à leurs frais.

  • Les sanctions

Les dirigeants des OSE sont passibles d’une amende de 100.000 euros, après mise en demeure restée infructueuse et dont le délai a expiré, pour ne pas s’être conformés aux obligations de sécurité, de 75.000 euros pour ne pas avoir déclaré un incident et de 125.000 euros s’ils ont fait obstacle aux opérations de contrôle[6]. De même, les dirigeants des FSN sont passibles d’une amende de 100.000 euros, après mise en demeure restée infructueuse et dont le délai a expiré, pour ne pas s’être conformés aux obligations de sécurité, de 50.000 euros pour ne pas avoir déclaré un incident ou informé le public en application de l’art. 13 du PL et de 100.000 euros s’ils ont fait obstacle aux opérations de contrôle (art. 15 du PL).

Les entreprises de santé et les services de prestations numériques en santé doivent intégrer toute la dimension des contraintes et contrôles auxquels elles sont exposées. La mise en conformité pour le mois de juin suppose dès maintenant une mise en œuvre des moyens pour assurer le contrôle des données de personnelles, de santé et la lutte contre la cybercriminalité.

[1] directive 2016/1148, appelée NIS (« Network and Information Security »)

[2] Loi n°2013-1168 du 18 décembre 2013

[3] Promulguée le 19 décembre 2013, la loi n°2013-1168 de programmation militaire (LPM) suit les orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Elle constitue l’outil législatif qui va permettre aux opérateurs publics et privés critiques pour la nation de mieux se protéger et à l’ANSSI – et à d’autres services de l’État – de mieux les soutenir en cas d’attaque informatique

[4] http://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_dossierpresse.pdf

http://archives.livreblancdefenseetsecurite.gouv.fr/2008/IMG/pdf/livre_blanc_tome1_partie1.pdf

[5] Voir les annexes

[6]Groupe de travail CECyF – Cyberlex, La prise de contrôle à distance d’un système informatique reste une finalité voire un préalable de nombreuses attaques informatiques constatées par l’ANSSI. En cas de révélation publique d’un tel événement, l’atteinte à l’image et à la crédibilité est également préjudiciable à sa victime. 24 janvier 2018

Lire aussi :
Cyberattaque des objets connectés dans le secteur de la santé : quelle protection des fabricants et des utilisateurs ?
Coup de tonnerre pour les industries de la santé : une nouvelle jurisprudence annonciatrice de contentieux ?

Mots-clés : , , , , ,

FIDAL avocats : le blog