Cybersécurité : Nos données de santé sont-elles en sécurité ?

Hors-série de Galilée n°3

— Décembre 2017 —

La Lettre de Gali lée 350, rue des Carignans 34790 GRABELS

SAS au capital de 1000€ SIRET 79739749400015 - RCS MONTPELLIER - TVA FR28797397494

ISSN : 2492-0770 CPPAP : 0119 Z 93290

La Lettre de Galilée est reconnue par la Commission paritaire comme un service en ligne d'information politique et générale au sens de l’article 39 bis A code général des Impôts.

Directeur de la publication : Vincent Fromentin

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ? 3

Décembre 2017 4

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ? 5

Éditorial La santé, nouvel eldorado des hackers ?

Par Vincent Fromentin

es données de santé sont des informations sensibles qui, en dépit des obligations de sécurité, se retrouvent parfois piratées et divulguées sur Internet.

L’actualité rapporte souvent des faits divers concernant la perte de contrôle de certaines données de santé : en mai 2017, par exemple, le ransomware WannaCry a mené une vaste campagne mondiale de piratage de données, qui a notamment paralysé une quarantaine d’hôpitaux à travers l’Angleterre et l’Écosse. En deux jours, le virus informatique s’est propagé au sein de 200 000 ordinateurs dans150 pays différents. Le mode opératoire est simple : profitant d’une faille du système Windows XP, les données sont cryptées par les pirates ; pour les récupérer, il faut payer une rançon, demandée le plus souvent en monnaie virtuelle, le

bitcoin, difficile à tracer.Aux États-Unis, les piratages sont fréquents ; certains établissements de santé ont payé jusqu’à dix millions de dollars pour des attaques similaires. Et les hôpitaux sont particulièrement vulnérables face à ces attaques en raison des nombreux points d’entrée possibles : l’hôpital est de plus en plus connecté et tourné vers l’extérieur, avec l’essor de l’ambulatoire.

LES NOUVELLES REGLEMENTATIONS Les hôpitaux sont encore loin d’être prêts pour relever les nouveaux défis de la cybersécurité des données de santé. Pourtant, la réglementation se durcit. Depuis la loi de santé de 2017, les établissements de santé ont pour obligation depuis le 1er octobre 2017 de signaler les incidents graves de sécurité en matière de transmission informatisée des données de santé. Auparavant, le signalement des incidents reposait uniquement sur la base du volontariat. De plus, à partir du 25 mai prochain entre en vigueur une nouvelle réglementation européenne sur les données, le fameux RGPD (Règlement Européen de Protection des Données) qui renforce considérablement les impératifs de sécurité des hébergeurs et utilisateurs de données de santé.

L

Décembre 2017 6

LES NOUVEAUX ELDORADO DU NET Au-delà des données de santé qui sont échangées entre les établissements de santé et les professionnels, les dispositifs médicaux, faiblement sécurisés, sont la cible des hackers. En 1983, Kevin Mitnick parvient pour la première fois à pénétrer à distance dans un ordinateur du Pentagone. Aujourd’hui, si les ordinateurs sont encore utilisés par certains virus comme WannaCry ou Petya, les hackers ne visent plus les ordinateurs mais plutôt les objets connectés : en 2015, des pirates ont réussi à prendre le contrôle à distance d’une Jeep Cherokee obligeant le constructeur à rappeler 1,4 million de véhicules. En août dernier, aux États-Unis, 500 000 pacemakers ont été rappelés par la Food and Drug Administration (FDA) en raison d’un risque de cybersécurité potentiel : une tierce personne pourrait éteindre les batteries ou

contrôler le rythme cardiaque du patient.En 2013, les autorités américaines avaient déjà émis des mises en garde de sécurité concernant un large éventail de dispositifs médicaux : des pompes à perfusion de médicaments, des ventilateurs, des moniteurs de patients ou bien d'autres dispositifs chirurgicaux et anesthésiques. En réalité, n’importe quel objet connecté au système informatique d’une entreprise ou d’un établissement de santé est une porte d’entrée pour introduire un ramsonware ou tout autre malware.

UN PACTOLE AU MAIN DU PRIVE Dans un système informatique clos, au périmètre délimité, les experts en cybersécurité planchent sur des surveillances des anomalies en utilisant l’exploration des données (data mining) ou l’apprentissage profond (deep learning). Des algorithmes complexes qui scrutent la moindre anomalie. Mais dans le monde des objets connectés (IoT), le modèle est difficilement transposable : comment surveiller un environnement aussi hétéroclite et disparate ? L’autre enjeu de sécurité est le volume des données. Les hébergements locaux ne suffisent plus. Et les contraintes sécuritaires exigées par les pouvoirs publics sont de plus en plus drastiques, obligeant les prestataires de services qui utilisent des données de santé à externaliser cette gestion complexe vers un tiers. Or, comme pour les Big Data, l’externalisation massive des données de santé vers des opérateurs privés pose problème car ces masses de données échappent à tout contrôle. La guerre des données aura-t-elle lieu ?

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ?

7

Sommaire

Santé connectée : faut-il craindre les robots ? 8

Données personnelles de santé : un trésor convoité et sous-exploité 10

Big Data en santé : le grand naufrage européen 15

RGPD et normes de sécurité : quels impacts sur les médecins généralistes ? 17

Santé et sécurité, le rendez-vous manqué ? 19

Bibliographie indicative 20

Décembre 2017 8

Santé connectée : faut-il craindre les robots ?

Avec 6,4 milliards d'objets déjà connectés, reliés à Internet, et 5,5 millions nouveaux appareils qui sont installés par jour, l'Internet des objets (IoT) constitue une cible de prédilection pour les pirates. Le 21 octobre 2016, la société Dyn aux États-Unis en a fait les frais en essuyant une attaque qui a paralysé de nombreux sites Internet comme CNN, The Guardian, Netflix ou Twitter. Le pirate avait réussi à prendre le contrôle de 100 000 caméras. Avec l'arrivée des voitures connectées, des brosses à dents ou des bracelets connectés, la menace est prise au sérieux par l'Union Européenne. La Haute Autorité de Santé a publié un guide de recommandations pour les applis santé. Faut-il vraiment craindre les objets connectés ?

n France, c'est l'hébergeur OVH qui a subi, mais déjoué, le même type d'attaque utilisant des objets "zombies", des caméras

de surveillance. Selon la société Flashpoint, les pirates ont recours à un malware appelé Mirai qui utilise des failles de sécurité dans les objets connectés. Une fois introduit, le pirate a le contrôle total du terminal et peut ainsi constituer un réseau de "zombies" prêts à passer à l'attaque. En cause notamment, un éditeur de logiciels et fabricant d’électronique chinois, XiongMai Technologies. Des éléments électroniques utilisés par divers fabricants d'objets connectés ne disposant que d'un login et mot de passe de série (de type root ou admin). Hélas, les constructeurs font le minimum en sécurité sur les objets connectés qu'ils produisent et qui se retrouvent de plus en plus nombreux autour de nous. Pourtant, ces objets sont capables de nous filmer, de transmettre des données personnelles voire de

contrôler d'autres objets domotiques. Le code source d'un des codes malveillants utilisé pour compromettre ces objets connectés ayant été publié et diffusé sur internet, il est à craindre que ces attaques soient de plus en plus massives.

Si la France est dans le Top10 des pays dans le monde où la cybercriminalité est la plus active, la nouvelle menace de l'Internet des objets inquiète

beaucoup plus.

LES HOPITAUX, CIBLES DE CHOIX POUR LES

RANSONWARES Déjà en décembre 2015, l'ENISA, l’Agence Européenne chargée de la sécurité des réseaux et de l'information, avait publié un rapport où elle alertait de ces risques largement "sous-estimés" (p.16) de l'écosystème IoT. Selon un sondage, 43% des Français utilisent des objets connectés dans leur vie... En France, 10 millions d’attaques informatiques ont été enregistrées en 2015, classant ainsi le pays dans le

E

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ? 9

top 10 des pays où la cybercriminalité est la plus active selon le rapport annuel de la société américaine de sécurité informatique Symantec. Cette remontée est particulièrement due à la hausse des ransomwares : ces logiciels qui prennent en otage des données personnelles en échange d'une rançon. Ce type de menace a constitué plus de 391 000 attaques en France en 2015, soit 2,6 fois plus qu’en 2014. Une menace "classique" qui touche particulièrement le monde médical et les hôpitaux. Dans les colonnes du Monde, Cédric Cartau, le responsable sécurité des systèmes d’information au centre hospitalier universitaire (CHU) de Nantes et Pays de la Loire, confiait : "Il y a environ mille hôpitaux en France, mais à peine cinquante responsables sécurité des systèmes d’information. La situation n’est pas plus enviable dans les structures privées, et c’est encore pire dans le médico-social. Dans 95 % des cas, il n’y a personne pour se préoccuper de sécurité informatique." Sujet tabou passé sous silence. On compte néanmoins une à deux attaques hebdomadaires... Mais la menace semble plutôt venir de ces objets connectés qui font notre quotidien. Pour le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERTFR), dans son rapport du 10 octobre 2016 notait "une recrudescence des dénis de service" dont les "attaques provenaient d'objets connectés mal sécurisés, constituant un réseau de machines zombies". "Le code source de la famille Mirai ayant été publié sur Internet par les pirates, une recrudescence des attaques par force brute sur des objets connectés est attendue.". Avant, les pirates utilisaient uniquement des ordinateurs pour ce genre de méfaits. Aujourd’hui, cela peut passer par vos ampoules ou réveils connectés à la maison.

L’IOT EN SANTE, DES DONNEES SENSIBLES

DISPONIBLES EN TEMPS REEL La Haute Autorité de Santé a publié un référentiel de bonnes pratiques pour se repérer dans l'écosystème de l'IoT : près de 50 000 applications santé sont actuellement disponibles. Dans un marché plutôt prometteur, estimé à 163 Md€ d’ici 2020, le développement de ces objets et application connectés se fait de manière anarchique, sans cadre prédéfini, ce qui soulève de nombreuses questions concernant leur fiabilité, la réutilisation des données collectées ou le respect de la confidentialité. Le secteur de la santé n’échappe pas à la mode, tant chez les particuliers que les établissements de santé : selon une étude d’Aruba, dans le monde, 60% des acteurs de santé ont opté pour des solutions IoT et 85% envisagent de le faire d’ici l’année prochaine. Le danger est dans le stockage et la disponibilité de l’énorme quantité de données produites par les établissements et organismes de santé. De nouvelles pratiques, notamment dans la recherche médicale, ont émergé grâce à l’Internet des Objets. Mais, il faut en assurer un accès constant et sécurisé. Pour éviter de saturer les réseaux classiques, la majorité des acteurs de santé stockent leurs données dans le cloud. Mais, une autre question se pose : la sécurité et la propriété des données brassées dans le parc des gigantesques data centers, ces serveurs détenus majoritairement par des géants américains. Quelle propriété ? Quelle utilisation pour ces données de santé externalisées ?

Décembre 2017 10

Données personnelles de santé : Un trésor convoité et sous-exploité

Toutes nos données de remboursement de soins sont enregistrées dans une base nationale gérée par l’Assurance maladie. L’année dernière, la Cour des Comptes a publié un rapport complet sur ces données personnelles. Une mine de données de santé, d'une grande qualité et d'une grande richesse, quasiment unique au monde, souvent sous-utilisée et peu partagée. L'article 193 de la loi de santé, en ouvrant davantage l'accès et le recours à cette base de données, interroge les limites et les failles (notamment sécuritaires) du système actuel. D'autant qu'un nouveau règlement européen relatif à la protection des données personnelles, publié le 4 mai 2016, donne une définition commune des "données de santé" pour les pays de l'Union Européenne et précise de nouvelles obligations (articles 25, 35 ou 37), notamment la création d'un délégué à la protection des données (DPO).

réé par la loi de financement de la sécurité sociale de 1999, le Système national d’information interrégimes de l’assurance

maladie (SNIIRAM) centralise l’ensemble des données de liquidation des prestations de tous les bénéficiaires des régimes d’assurance maladie obligatoire de base. Géré par la CNAMTS, cet "entrepôt de données" n’a été mis en service qu’en 2004 à partir d’un retraitement des feuilles de soins de ville. En 2010, ces données ont été chaînées avec les informations médico-administratives sur les séjours hospitaliers issues du PMSI. En 10 ans, le SNIIRAM est devenu l'"une des plus importantes bases de données médicoadministratives au monde" (p.13) : 204 variables, 500 millions d’actes médicaux annuels, 1,2 milliards de feuilles de soins, 11 millions de séjours hospitaliers MCO. "Des données d’une ampleur et d’une finesse sans guère d’équivalent" (p.25). Depuis 2013, la CNAMTS s’est dotée d’un nouvel ordinateur "d’une capacité de 450 téraoctets", de 8 serveurs de calcul, 23 serveurs de stockage de

données et 2 serveurs d’applications permettant de diviser par 50 le temps de requête pour interroger les bases. Un choix "pertinent" pour la Cour notamment au regard des évolutions qu’introduit l’article 193 de la loi de modernisation de notre système de santé puisque différentes "briques" seront rajoutées à cet entrepôt et davantage d’utilisations seront autorisées. Au total cinq types de données seront proposés :

• les données issues des systèmes d'information hospitaliers (données PMSI gérées par l’ATIH);

• les données du SNIIRAM ; • les données sur les causes de décès

(base CepiDc gérée par l’INSERM) ; • les données médico-sociales du système

d'information mentionné à l'article L. 247-2 du code de l'action sociale et des familles ;

• un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d'assurance maladie complémentaire et défini en concertation avec leurs représentants.

C

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ? 11

LA CONSTRUCTION DU SNIIRAM Profitant de la dématérialisation des feuilles de soins, dorénavant transmises électroniquement dans le cadre du dispositif Sésame-Vitale, et pour répondre aux besoins croissants de maîtrise des dépenses, une base légale et harmonisée des systèmes nationaux inter-régimes (SNIR) a été proposée dans le cadre d’une convention d’objectif et de gestion signée entre la CNAMTS et l’État sur la période 1997-1999 qui s’est traduit dans la loi de financement de la sécurité sociale pour 1999 par la création du SNIIRAM. Mais la LFSS de 1999 renvoyait les modalités techniques de gestion de la base à un simple protocole négocié entre les régimes. Il aura donc fallu attendre le 15 octobre 2001 (et son arrêté du 11 avril 2002) pour qu’un protocole fixe les "modalités d’alimentation et de contrôle qualité de la base, les régimes d’accès aux données et le dispositif de pilotage du système". Ce n'est donc qu'en 2004 que la CNAMTS a fusionné les deux SNIR dans ce nouvel environnement. En 2010, les données du SNIIRAM ont été chaînées avec celles issues de la tarification hospitalière du PMSI, "progrès majeur permettant le suivi des consommations individuelles de soins pour un même patient à la fois en ville et à l’hôpital". Le pilotage de cette énorme base repose dès 2001 sur un comité d’orientation et de pilotage de l’information interrégimes (COPIIR), la gestion technique étant confiée à la CNAMTS. Mais les rôles et la gouvernance n'ont pas clairement été définis. "Absent des grandes orientations, l’État a une part de responsabilité indéniable dans cette situation." (p.20) "Il en est résulté un manque patent d’investissement stratégique des pouvoirs publics". Malgré la participation régulière du ministère aux différentes instances de gouvernance, les

évolutions du contenu de la base ont été très peu impulsées par l’État. Ceci illustre tout autant un manque d’intérêt pour la base que l’étroitesse de ses marges de manœuvre comparées à celles du gestionnaire de celle-ci. Son absence de réaction face aux problèmes de gouvernance est à cet égard caractéristique. Le COPIIR s’est réuni à un rythme inférieur à celui exigé par les textes puis a définitivement cessé de se tenir depuis le 18 avril 2013. La direction de la sécurité sociale a considéré, avec la CNAMTS, qu’il n’y avait pas lieu de le convoquer tant que les réflexions sur l’ouverture des données de santé n’avaient pas abouti. "Elle porte ainsi une responsabilité importante dans la paralysie de cette instance." (p.23) Grosso modo, c'est la CNAMTS, tel le Griffon gardien des trésors d'Apollon, qui en a assuré l'enrichissement et la structuration.

Décembre 2017 12

LES LIMITES DE LA BASE SNIIRAM Deux limites structurelles ont été relevées par la Cour. "Par construction, aucune donnée relative aux soins non remboursés ou à ceux pris en charge par une assurance maladie complémentaire n’y figure. On ne peut donc pas exploiter le SNIIRAM pour étudier les pratiques d’automédication ni pour évaluer les restes à charge réels des patients. On n’y trouve également que très peu d’informations permettant de caractériser le profil socio-économique des assurés, la seule donnée à cet égard étant l’éventuel bénéfice de la CMU-C." La deuxième limite tient à la faible qualité des informations médicales. En soins de ville, les seules informations médicales disponibles concernent les affections de longue durée (ALD), soit 16 % de la population assurée. De plus, "en matière d’alimentation du SNIIRAM le retard dans les mises aux normes techniques et l’absence de certaines données transmises à la CNAMTS limitent la qualité globale des flux en provenance des autres régimes." La CNAMTS elle-même continue de produire une grande partie de ses analyses (dont le suivi de l’ONDAM) à partir des seules informations "régime général". (pp.28-29) Les rythmes d'alimentation de la base n'est pas le même; le flux PMSI est mensuel pour le MCO et l'HAD mais le chaînage ne s'effectue qu'une fois l'année comptable liquidée, entraînant des retards allant parfois jusqu’à 18 mois (p.30). Mais la principale alerte que lance la Cour des Comptes concerne les failles sécuritaires observées. Citant un rapport de test d’intrusion remontant à 2010, "un attaquant n’ayant pas de compte sur le portail ne pouvait réaliser aucune action dangereuse pour le SNIIRAM, mais que toute personne ayant un compte sur le portail du

SNIIRAM, même en accès très limité, pouvait rebondir sur une grande partie du système d’information de la CNAMTS". Plusieurs risques étaient en partie classés comme étant d’une gravité majeure, avec une probabilité ou un impact "catastrophiques" (p.39). Alors que la CNAMTS s'apparente pleinement à un "hébergeur de données de santé", elle n'a pas besoin de solliciter un quelconque agrément (notamment demandé aux hébergeurs privés), profitant d'un aménagement législatif de 2015. L'agrément n'est ainsi obligatoire que pour les hébergeurs assurant un "dépôt et une restitution de données sans réutilisation de celles-ci pour d’autres fins". Ce qui n'est pas le cas pour le SNIIRAM où les données peuvent être réutilisées à d’autres fins... De plus, comme la CNAMTS n'est pas classée comme un "opérateur d’importance vitale", elle n'est soumise à aucune inspection de la sécurité de ses systèmes d'information. Et les perspectives qu'ouvrent la loi de santé dans son article 193 (diversité des sources et élargissement des utilisateurs) font craindre le pire. "La grande ampleur du SNIIRAM et du SNDS, la réutilisation accrue et l’ouverture annoncée des données aggravant les risques, l’État devrait imposer a minima à la CNAMTS les mêmes contraintes que celles imposées aux autres hébergeurs, au-delà de celles de la politique de sécurité des systèmes d’information du secteur public". La Cour rappelle aussi les conclusions de la CNIL qui pointaient du doigt les vulnérabilités des clés de cryptage des données en cas d'attaque ou de compromission. Le Ministère s'est attaché à fixer des prescriptions de sécurité "drastiques", conformes aux normes internationales en matière de piratage mondialisé,

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ? 13

mais ne "s’est pas assuré de la faisabilité technique et budgétaire de leur mise en œuvre effective". (p.45)

LE BROUILLARD DE LA GOUVERNANCE Les concurrences entre instances dues à "l’imprécision des textes en vigueur" génère parfois des blocages (p.54) et marque un sérieux coup d'arrêt au mouvement d'ouverture amorcé. En témoigne les demandes, notamment de la DREES et de l’ATIH, bien que validées par le COPIIR, sont restées lettre morte depuis 3 ans. "Il était de la pleine responsabilité [de l'État] de modifier le cadre juridique, en particulier les textes réglementaires et dans une moindre mesure le protocole interrégimes ou la convention de l’IDS, pour clarifier les procédures et les compétences respectives. À l’inverse, l’administration a laissé cette situation infructueuse perdurer. Dès lors, la tutelle, responsable en dernier ressort du contenu de l’arrêté, a bloqué l’ouverture des droits d’accès permanents au SNIIRAM, arguant du refus de la CNIL d’examiner un nouveau projet d’arrêté dans l’attente d’un audit de sécurité du système par la CNAMTS." Il faut en moyenne 18 mois pour obtenir une extraction de données du SNIIRAM dans le cadre d’un accès ponctuel : entre 2 et 4 mois pour l’avis de l’IDS, puis entre 6 mois et un an pour l’autorisation de la CNIL avec des délais très variables et difficilement prévisibles, et enfin 3 mois pour la réalisation de l’extraction par la CNAMTS (p.58). Ce n'est certainement pas du à la restriction imposée par le code de la commune de résidence du patient. Un rapport de la commission Open Data en santé avait déjà soulevé le problème de l'utilisation du NIR du patient (pp.19-20). Pourtant, le recours plus fréquent à cette variable sensible n’est pas "exempte de contradiction avec la préoccupation d’une plus grande territorialisation des politiques de santé, par exemple en matière

d’épidémiologie environnementale, qui pour prospérer doivent bénéficier d’études à ce niveau de finesse" (p.59). Car la richesse et la profondeur historique du SNIIRAM permet de documenter, souvent à la suite d’alertes de pharmacovigilance, de nombreux effets des médicaments sur la santé des patients. Cela avait été le cas pour le Médiator® en 2009. La CNAMTS avait alors confirmé le lien entre la consommation du médicament et le développement de valvulopathies et d’hypertension artérielle pulmonaire. "Depuis, ont été conduites une dizaine d’études de cette nature comme celle sur les effets de la consommation de Dépakine chez les femmes enceintes démarrée à l’été 2015 à la suite d’une alerte de l’ANSM. Ces quelques études, dont certaines sont coordonnées avec l’ANSM, restent néanmoins marginales" (p.67) Conformément aux objectifs élaborés lors de sa création, le SNIIRAM est utilisé dans le cadre de programmes d’efficience du système de soins en favorisant le retour à domicile des patients tout en limitant les risques de réhospitalisation (comme le PRADO). Néanmoins, "leur rôle dans la maîtrise des dépenses n’est pas encore à la hauteur des enjeux. Des initiatives timides de maîtrise médicalisée des dépenses ont par exemple été prises en matière de pratiques individuelles des professionnels de santé" (p.68). Toutefois, "malgré l’élargissement des finalités assignées au SNIIRAM, la diversification de ses utilisations en dehors de l’assurance maladie est freinée par la complexité et la lenteur des procédures d’accès aux données qu’il s’agisse d’accès permanents ou ponctuels. (...) Les pouvoirs publics font un usage du SNIIRAM anormalement limité au regard de l’apport que pourrait représenter la base, en matière de suivi des dépenses d’assurance maladie et d’amélioration

Décembre 2017 14

des connaissances sur les patients, les professionnels de santé et les parcours de soins. " L’État se prive ainsi d’un outil précieux pour le pilotage du système de santé et s’en remet largement à la CNAMTS pour obtenir des analyses destinées à en assurer la tutelle (p.75) Pas d'utilisation au ministère des Finances, au Trésor ou à la direction du budget. Sous la pression de l'union nationale des professionnels de santé, hostile à l'utilisation par les ARS des données de santé, le ministère de la santé a entériné dans l’article 48-VI de la loi de financement de la sécurité sociale pour 2013 une forte limitation de l'accès des agences aux données individuelles. Les professionnels de santé "devaient, selon l'union nationale des professionnels de santé, être protégés au même titre que les assurés. Malgré les demandes récurrentes des ARS, les alertes de l’IDS et les recommandations de la Cour, les droits d’accès définis par l’arrêté relatif au SNIIRAM sont restés anormalement étroits pour les ARS et n’ont pas été substantiellement modifiés jusqu’à l’article 193 de la loi de modernisation de notre système de santé". (p.79)

La Cour conclut le chapitre de manière lapidaire : "alors que la France a constitué une base exceptionnelle aux potentialités, certes perfectibles, mais déjà considérables, elle s’interdit de l’exploiter pleinement alors que les enjeux sont cruciaux, notamment en matière de santé publique, de veille sanitaire et également de maîtrise des dépenses de l’assurance maladie. La garantie de la préservation de la vie privée des personnes concernées constitue un enjeu certes absolument majeur, mais il est souhaitable que les acteurs concernés, notamment la CNIL, fassent évoluer leurs pratiques dans un sens moins restrictif pour répondre aux enjeux tout aussi vitaux touchant la santé des Français, dans un cadre juridique européen et français rénové."

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ? 15

Big Data en santé : le grand naufrage européen

Par Philippe Rollandin, chroniqueur et rédacteur en chef ASH La quasi-totalité des data centers, les bibliothèques numériques du XXIe, sont sous contrôle américain. Les États-Unis ont un quasi-monopole sur les données de santé et sur la recherche médicale numérique, plaçant l’Europe et la France dans une situation de totale vassalisation. Le combat est-il perdu d’avance ?

Paris, au bord de la Seine, sur la rive gauche, trône en majesté La Bibliothèque nationale de France, François Mitterrand

avec ses 4 tours de verre en forme de livres ouverts. Avec ses centaines de millions d’ouvrage de toute nature, la BNF renferme la quintessence de la culture humaine depuis que l’Homme crée et produit de la pensée jusqu’au XXe siècle. Mais où est la culture du XXIe siècle qui n’est plus dans les livres mais dans le Big Data, ce monde numérique et virtuel qui produit chaque jour des milliards d’informations dans tous les domaines ? Ce monde n’est d’ailleurs pas totalement virtuel car ces données doivent être stockées – comme les livres avec leur belle dorure sont rangés sur des étagères – dans des bibliothèques d’un genre nouveau : les data centers. Ces bibliothèques ne s’exposent pas à la vue des passants et ne se visitent pas. Elles sont enfouies, dans des endroits généralement tenus secret. Ceux qui en détiennent les clés informatiques les gardent précieusement parce que leur contenu a une énorme valeur. En effet, l’information, la data, est l’or noir du 3e millénaire. Et cette richesse-là – comme la richesse financière d’ailleurs – ne se partage pas. Elle est extraordinairement concentrée Outre-Atlantique.

En effet, une récente étude du cabinet Synergy Research révèle que les bibliothèques numériques du XXIème siècle sont toutes ou presque sous contrôle américain, soit parce qu’elles sont implantées aux Etats-Unis, soit parce qu’elles sont sous contrôle d’intérêt américain.

45% des data centers sont sur le territoire américain, 8% en Chine, 7% au Japon et 5% au Royaume-Uni. La France – pas plus que l’Allemagne – ne figure dans ce top 10. Il existe des data centers sur notre sol mais ils appartiennent à des entreprises américaines. Ainsi, dans tous les domaines – dont celui de la santé, les chercheurs doivent passer sous les fourches caudines américaines. La dépendance – pour ne pas dire la vassalisation de la France et de l’Europe – est un fait acquis.

À

Décembre 2017 16

La preuve ? Illumina, est une très discrète société, implantée à San Diego. Pesant 20 milliards de dollars en Bourse, elle détient le quasi-monopole des machines – les séquenceurs – permettant d’analyser le contenu de notre ADN. « 90% des données issues du décryptage du génome dans le monde sortent de nos appareils » affirme, avec orgueil, un des dirigeants de la firme. D’autres exemples ? Alphabet – plus connu sous son illustre nom de Google – a fait, à côté de l’incontournable moteur de recherche, de la santé un axe stratégique de développement. On connait assez bien Calico pour ses recherches sur le transhumanisme et l’immortalité. On connait moins Google Genomics qui propose à la communauté scientifique une sorte de plateforme lui permettant de faire des recherches sur le génome mais, l’utilisation de ce « Cloud » implique le partage des données produites ! On connait encore moins Deepmind, un département dédié à l’Intelligence artificielle qui travaille avec des hôpitaux britanniques pour déterminer si l’IA peut aider les médecins à améliorer leurs diagnostics sur certaines pathologies, et pourquoi pas, un jour les remplacer… Il y a aussi Verily et Google Fit qui sont des sortes de fonds d’investissement qui prennent des participations minoritaires ou majoritaires dans des start-up ayant des projets en santé numérique pour mieux les avaler si le projet est porteur. Ils s’associent aussi avec des grands laboratoires – Sanofi, Novartis, notamment - sur des projets de développements.

Par ailleurs, il ne faut pas oublier IBM et sa fameuse plate-forme Watson, leader dans le domaine du traitement des data sur le cancer. "Nous travaillons déjà avec des hôpitaux pour les aider, sur la base des connaissances disponibles à proposer les traitements les mieux adaptés à chaque cancer. Et eux, aident Watson à acquérir toujours plus d’expertise" affirme en toute innocence Pascal Sempé, responsable santé d’IBM-France. Les réponses ou plutôt les ripostes en France et en Europe sont d’une pauvreté affligeante. La loi santé a autorisé l’accès aux données du SNIIRAM et du PMSI aux chercheurs qui doivent toutefois justifier de l’intérêt de leurs travaux. Autant demander à un train de banlieue de rattraper un TGV. Le combat est-il définitivement et irrémédiablement perdu ? Tout le laisse à penser mais, les seules batailles perdues sont celles qu’on ne livre pas. Dans les années 60 et 70, l’aéronautique civile était le monopole des Américains avec Boeing. Mais, l’Europe – plus exactement, deux pays européens, l’Allemagne et la France – décident de créer Airbus. On sait ce qu’il en est advenu : l’avionneur européen dépasse aujourd’hui l’Américain… Et si les deux grands pays de l’UE – au lieu de se disputer sur les taux de déficit budgétaire et le nombre de migrants à accueillir – revenaient à leur rôle de moteur de l’Europe en développant des projets comme un Airbus de la santé numérique ? Au demeurant, l’Europe des projets est la seule à intéresser les peuples de plusieurs pays qui – si on en croit les enquêtes d’opinion – sont de plus à plus nombreux à vouloir suivre l’exemple britannique et à quitter une Europe à bout de souffle.

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ? 17

RGPD et normes de sécurité : quels impacts sur les médecins généralistes ?

Par Vincent Trely, Président et fondateur de l’association pour la sécurité des SI de santé (APSSIS) Le Règlement Général sur la Protection des Données (RGPD) vient compléter le dispositif français encadrant les données à caractère personnel. La sécurité de ces données, et tout particulièrement celle des « données de santé à caractère personnel », déjà cadrée par la PGSSI-S de l’ASIP Santé, par les règles issues de la CNIL, puis par un ensemble de lois, se voit à nouveau renforcée. S’il n’est pas discutable de vouloir apporter à nos données de santé et aux systèmes qui les traitent un haut niveau de sécurité, sur les plans de leur disponibilité, de leur intégrité, de leur confidentialité et de la traçabilité de leur cycle de vie, ce processus

n’est pas sans conséquences.

LE GENERALISTE N’EST PAS RGPD

COMPATIBLE Si l’on prend l’exemple d’un Cabinet de Médecine Générale, dirigé par un ou plusieurs médecins, voici un résumé des obligations et de leur logique :

• Le médecin utilise plusieurs traitements informatiques, certains ne lui appartenant pas (FSE, Carte Vitale, Serveurs de résultats de biologie, plates-formes régionales, Messagerie sécurisée de santé, etc.), d’autres étant sa propriété : logiciel de cabinet médical, fichier contenant des données patients en particulier.

Au sens du RGPD, le médecin est donc

« responsable de traitements de données ». • En tant que Responsable de Traitement, le

médecin doit documenter chaque traitement : finalité, modalités de collecte des données, mesures de sécurité associées, modalités d’information des patients de leurs droits (droit de « regard », de

rectification, d’opposition, voire droit à l’oubli), modalités d’accès au(x) logiciel(s) traitant les données de santé (habilitations et processus sécurisé et tracé d’authentification), contrats associés au traitement (éditeurs, société informatique d’infogérance…).

• Le médecin doit réaliser, pour chaque traitement, une PIA (Privacy Impact Assessment), autrement appelée EIVP (Etude d’Impact sur la Vie Privée), ou AIPD (Analyse d’Impact relative à la Protection des Données), c’est-à-dire une analyse des risques encourus par les données de santé collectées et hébergées, en cas de perte, de

Décembre 2017 18

vol, d’exposition sur Internet, de modification accidentelle ou du fait d’un piratage.

• Le médecin doit ensuite formellement

« assumer » le traitement et les éventuelles conséquences de son dysfonctionnement, s’engager à maîtriser les risques et déclarer ce traitement auprès de la CNIL.

• Enfin, le médecin devra faire appel à un DPO

(Data Protection Officer) ou DPD (Délégué à la Protection des Données) pour l’aider à réaliser ces procédures et le maintenir, annuellement, en conformité, un peu de la façon d’un Commissaire aux Comptes (CAC) dans le cadre des entreprises.

NOS DONNEES DE SANTE DANS LE

CLOUD Bien évidemment, tout cela ne se fera pas. Les médecins libéraux n’ont ni la compétence, ni le temps de gérer cette conformité, de sa compréhension à sa mise en œuvre opérationnelle ! Leur vocation est de nous soigner, à l’aide de systèmes numériques fiables, intuitifs, interconnectés et surtout, répondant précisément à leurs exigences de terrain.

Le niveau de sécurité demandé à ces systèmes numériques, parfaitement légitime au regard des enjeux actuels de cybersécurité, n’est absolument pas supportable par les médecins généralistes, et il en est de même pour les spécialistes libéraux, toutes spécialités confondues (ophtalmologiste, chirurgien-dentiste, gériatre, cardiologue, psychiatre, etc.). À très court terme, il est probable que les assureurs de ces médecins le leur expliquent, en augmentant leurs primes annuelles par 4 ou 5… La conséquence est logique : c’est l’externalisation des données de santé et des logiciels qui les traitent au sein de Clouds performants, sécurisés et cadrés par un processus de certification exigeant. Le médecin n’aura plus besoin que d’un ordinateur portable (vide) et d’une connexion Internet pour accéder à son espace de travail, constitué de logiciels « métiers » (gestion du Cabinet, gestion des patients, etc.) et administratifs (facturation, comptabilité), d’un « coffre-fort » de données (pour les fichiers PDF, Office, sons, vidéos) et de services multiples développés par les hébergeurs. Ce modèle reporte une large partie des responsabilités vers l’offreur, le médecin restant responsable de la qualité des données et de la confidentialité de leur accès.

UNE SECURITE A QUEL PRIX ? Combien ? Peut-être entre 4 000 € et 6 000 € par an pour un bouquet de services conséquent. Peut-être moins si le médecin consent à céder l’usage anonymisé des données de ses patients au fournisseur du Cloud…

Hors série de Gali lée n°3 : Cybersécurité, nos données de santé sont-elles en sécurité ? 19

Santé et sécurité, le rendez-vous manqué ?

L’évolution de l’environnement a conduit les pouvoirs publics à renforcer la législation concernant la sécurité des données de santé. Les acteurs majeurs du monde de la santé doivent se conformer à une réglementation toujours plus stricte. Mais, face à ces rapides changements, les établissements de santé ont du mal à

suivre le rythme.

es exigences de sécurité des systèmes informatiques ont évolué pour faire face aux différentes menaces. Et c’est

une bonne chose. Déjà, toutes les institutions publiques ont du se conformer, fin 2013, à une politique de sécurité des systèmes d'information de santé (PGSSI-S). En 2014, la direction générale de l’offre de soins (DGOS) a introduit, dans le programme "Hôpital numérique" de 2011, un plan stratégique de développement et de modernisation des SIH pour la période 2012-2017 qui met l'accent sur le niveau de sécurité minimum à atteindre pour les données de santé. En janvier 2017, la création des groupements hospitaliers de territoire (GHT) entraîne une mutualisation accrue des systèmes informatiques et appellent à redéfinir les modalités d’agrément ou d’accréditation pour l’hébergement des données de santé. La logique d’une mutualisation implique le partage d’une donnée à un hôpital tiers qui se doit d’être sécurisée. En mai 2018, le règlement européen de protection des données (RGPD) augmentera considérablement les exigences de sécurité relatives aux données de santé.

De surcroît, une autre directive, appelée "Network Information Security", doit être transposée dans le droit français en 2018, et risque de compliquer davantage le travail des DSI hospitaliers. Aujourd’hui, le secteur hospitalier peine à se mettre à la page car les exigences de sécurité deviennent de plus en plus draconiennes. Qu’en sera-t-il des établissements médico-sociaux en ce moment dans la tourmente ? Le risque, que peu de personnes évoquent, est une externalisation massive des données de santé vers des clouds privés. Autrement dit, jusqu’à maintenant, l’État a réussi à courir après la mise en conformité sécuritaire des systèmes d’information. Mais toujours en retard et au prix de lourds investissements. Aujourd’hui, l’écosystème a changé, très rapidement. L’État n’est plus en mesure de faire face aux menaces exogènes sur nos données de santé et comprendra, trop tardivement, les raisons de l’aspiration des données de santé par des acteurs privés. .

L

Décembre 2017 20

Bibliographie indicative Laurent Alexandre, "La Guerre des intelligences", JC Lattès, oct. 2017, 250 p. "Attacker Behavior : Industry Report", Vectra, Janvier-Mars 2017, 11 p. Charles-Édouard Bouée, "La chute de l'Empire humain, Mémoires d'un robot", Grasset, mars 2017, 208 p. Cour des Comptes, "Les données personnelles de santé gérées par l’assurance maladie. Une utilisation à développer, une sécurité à renforcer", Paris, Mars 2016, 165p. Haute Autorité de Santé, "Référentiel de bonnes pratiques sur les applications et les objets connectés en santé (Mobile Health ou mHealth)", Paris, Octobre 2016, 60 p. Asip Santé/DSSIS, "Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), Principes fondateurs", Paris, Juillet 2013, 20 p. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 Yuval Noah Harari, "Homo Deus : Une brève histoire de l'avenir", Albin Michel, sept. 2017, 464 p.