Cyberattaque: la responsabilité du médecin peut être engagée

Samedi, l’hôpital Saint-Pierre a subi une cyberattaque, qui a mis à mal le fonctionnement de nombreuses applications, dont les dossiers patients et les lignes téléphoniques, qui sont restées un temps inaccessibles. Une fois de plus des questions se posent en matière de prévention pour diminuer les risques de telles attaques. Avec en filigrane la responsabilité du médecin en cas de non-respect des règles de sécurité.

Récemment, dans un article qui abordait la problématique de la cybersécurité dans les hôpitaux belges, la question de la responsabilité des médecins à propos des données qu’ils traitent avec les patients a été évoquée. « L’hôpital ne sera plus le seul incriminé en cas de non-respect des règles de sécurité » soulignait l’un des intervenants. « Dans le contrat de travail du médecin, il y a une clause qui prévoit la faute grave en cas de non-respect de ces règles de sécurité. »

Que dit l’Ordre ?
Plusieurs médecins se sont interrogés sur ces propos. Nous avons posé la question à l’Ordre des Médecins. Le Pr Christian Melot, Vice-Président francophone du Conseil de l’Ordre précise le cadre actuel : « Le médecin chef de l’hôpital a la responsabilité des archives médicales de l’hôpital. En concert avec le DPO, il veille à la protection des données selon le RGPD. En matière de cybersécurité, il travaille avec le service informatique de l’hôpital. »
Des outils adaptés
Au quotidien, dans sa pratique, le médecin se doit de travailler avec des outils sécurisés : « Lorsqu’un médecin exerce à l’hôpital, il est impératif qu’il travaille avec les logiciels de l’hôpital et qu’il respecte les normes de sécurité informatique (changement régulier de mot de passe, …). Il arrive qu’il puisse accéder à distance aux logiciels médicaux de l’hôpital via un ordinateur fourni et sécurisé par l’hôpital. Le plus souvent, il télécharge sur son PC personnel un logiciel sécurisé connecté avec l’hôpital via un réseau VPN et une double authentification. Souvent la connexion à distance ne permet pas de télécharger des données, mais seulement de les consulter. De même, l’impression n’est pas possible sauf sur l’imprimante de son bureau à l’hôpital. »
Des habitudes à surveiller
Certains médecins prennent parfois des libertés en matière d’archivage ou ont conservé de vieilles habitudes liées à leur pratique : « Malheureusement, les outils de capture d’écran permettent parfois de sauvegarder sur un PC personnel des données personnelles des patients. Là aussi, le médecin est responsable de ce qu’il fait. Dans le contrat de travail du médecin, il y a une clause qui prévoit la faute grave en cas de non-respect de ces règles de sécurité. Il faut que le médecin prenne conscience de ces problèmes de cybersécurité et suive les consignes du service informatique. La sécurité est l’affaire de tous les acteurs et la responsabilité du médecin est engagée. »
Des assurances existent

Pour Christophe Celio, Cyber Security Leader du Procsima-Group, la responsabilité des médecins est en effet une nouvelle réalité : « Les médecins sont responsables de la manière dont ils traitent la donnée du patient. Ils doivent prendre les mesures nécessaires en matière de sécurité informatique. Ils pourraient avoir des astreintes financières s’ils ne respectent pas les règles. »

A ce niveau, des assurances existent pour les médecins : « Ils peuvent se faire assurer tant au niveau des sociétés ou des institutions pour lesquelles ils travaillent, qu’à titre individuel. Il y a des assurances de responsabilité civile et/ou professionnelle dans la plupart des grandes sociétés d’assurances. Les médecins doivent remplir un questionnaire précis sur la manière dont ils travaillent, avec quel matériel...le questionnaire concerne tant le lieu de travail en institution que la pratique en cabinet privé d’un médecin. Leur niveau de sécurité est évalué et les primes sont adaptées en conséquence et les montants varient suivant les situations. »

Lire aussi :

> Les urgences du CHU Saint-Pierre momentanément fermées en raison d'une cyberattaque

>  Cybersécurité : « Une attaque par jour contre nos hôpitaux »

Vous souhaitez commenter cet article ?

L'accès à la totalité des fonctionnalités est réservé aux professionnels de la santé.

Si vous êtes un professionnel de la santé vous devez vous connecter ou vous inscrire gratuitement sur notre site pour accéder à la totalité de notre contenu.
Si vous êtes journaliste ou si vous souhaitez nous informer écrivez-nous à redaction@rmnet.be.

Derniers commentaires

  • Harry Dorchy

    14 mars 2023

    Mesures à prendre par les hôpitaux face aux cyberattaques, en plus d’avoir des informaticiens compétents :

    1. MAINTENIR LES LOGICIELS À JOUR, ce qui n’est pas souvent le cas, par mesure de fausses économies, et on utilise d’anciennes versions de Windows. Or Microsoft publie en permanence des correctifs d’urgence. En règle générale, les cybercriminels sont moins enclins à développer des programmes qui ciblent les Macs pour deux raisons très simples : leur nombre est limité et leur système d’exploitation est très sécurisé quoique non inviolable.

    2. LIMITER L'ACCÈS. Les hôpitaux doivent essayer de suspendre tous les services disponibles directement sur Internet. Les administrateurs informatiques devraient envisager une liste blanche stricte en ce qui concerne les fichiers exécutables, afin que seules les applications connues et fiables puissent être exécutées sur les ordinateurs des hôpitaux.

    3. FORMATION À «L'HYGIÈNE» NUMÉRIQUE. le courrier électronique reste l'une des méthodes de diffusion les plus populaires auprès des cybercriminels. Le personnel hospitalier doit se méfier des courriels provenant d'expéditeurs inconnus, et doit surtout éviter de cliquer sur des liens ou de télécharger des pièces jointes sans être sûrs à 100 % de leur authenticité.

    4. SAUVEGARDE RÉGULIÈRE DE TOUTES LES DONNÉES IMPORTANTES. Si les fichiers sont sauvegardés, le logiciel rançon perd une grande partie de sa puissance, car les systèmes peuvent être restaurés et les données récupérées. Les documents importants, y compris les dossiers des patients, doivent être sauvegardés régulièrement, afin de garantir que les hôpitaux disposent toujours d'une version propre de leurs fichiers, au cas où ils seraient cryptés. Il est préférable de sauvegarder les données à la fois dans le nuage et avec un stockage physique, juste au cas où.

  • Francois Planchon

    13 mars 2023

    4 remarques:
    - les hôpitaux devraient avoir un système informatique fermé, clos, non ouvert sur l'extérieur (internet) pour tout ce qui concerne la gestion, dossiers médicaux, gestion du matériel de soins, facturation etc...
    - les portes d'accès externes devraient être filtrantes, pour ne donner accès qu'aux données nécessaires, à travers un filtre ne permettant QUE la consultation individuelle, un par un, des dossiers autorisés, et n'autorisant pas d'autres entrées que les mises à jour des données.
    - tout qui veut utiliser un ordinateur dans son métier DOIT avoir un minimum de formation à la gestion de données, à leur sécurisation, au respect des consignes, à l'utilisation d'un antivirus / pare-feu...
    On ne va pas confier une voiture à une personne qui n'a pas de permis de conduire : c'est la même chose en informatique... Désolé, mais sans ce minimum, on est vulnérable ET on rend vulnérable le réseau auquel on est connecté... Il faut passer par une formation minimum, comme pour utiliser du matériel médical sans jouer à l'apprenti sorcier...
    - l'ordinateur professionnel ne doit être utilisé QUE pour usage professionnel... Si des accès de recherche internet sont nécessaires, soit les sites consultables sont limités aux sites vérifiés, soit la recherche se fait avec la technique du "bac à sable" qui empêche à toute contamination de se propager...
    Les mails professionnels entrants doivent passer par un anti-virus / anti malwares etc...

    L'accès privé à internet doit se faire avec une machine privée, non professionnelle !
    Ce n'est pourtant pas compliqué à comprendre... ni à mettre en pratique...
    Les précautions avec les produits toxiques ou les rayons ionisants sont en général bien comprises et respectées, et les manquement sont sanctionnés : il en est de même avec la sécurité informatique...

  • Hugues DESSY

    13 mars 2023

    Totalement d’accord. A force d’économie on contraint le médecin à tous les rôles. Que les informaticiens fassent leur boulot et nous ferons le notre. Alternative : on peut revenir au dictaphone, à un bon secrétariat et au papier. On soignait plus, et peut etre même mieux. Et il n’y avait aucun risque.

  • Harry Dorchy

    13 mars 2023

    Erratum: LES SECRÉTAIRES... Elles sont devenues si rares que le pluriel n'a pas été marqué de facto...

  • Harry Dorchy

    13 mars 2023

    Vous avez parfaitement raison. Les honoraires médicaux hospitaliers rétribuent, en plus des administratifs, politiciens des CA, etc, des informaticiens dont le rôle est d’assurer le bon fonctionnement et la sécurité informatique. On ne leur demande pas de soigner les patients alors pourquoi les médecins devraient-ils aussi devenir informaticiens. Ils sont déjà obligés de remplacer les secrétaire en dactylographiant eux-mêmes les rapports médicaux et le courrier...

  • Alain Caroli

    13 mars 2023

    Bien que retraité-et heureux de l'être-, si effectivement la responsabilité du médecin peut être engagée, il ne faut pas oublier que nous ne sommes pas formés à priori en informatique comme les professionnels. Notre rôle et notre métier est de soigner les humains avec des outils, DONT l'informatique, et il faut s'appuyer sur une équipe dont les informaticiens font partie.
    A. Caroli