Protection des données
Les maisons et centres de santé ne sont pas à l'abri d'attaques informatiques. Ces structures doivent se doter d'outils professionnels sécurisés et de prestataires qualifiés. La sécurisation des accès à leurs données doit être renforcée et la vigilance des équipes doit être une priorité de tous les instants.
Article publié dans Concours pluripro, juin 2026
Cegedim Santé, Weda, MédecinDirect, Cerballiance... Les incidents de cybersécurité se multiplient depuis plusieurs mois, avec des vols de données administratives de patients mais aussi des données relatives à leur état de santé ou à leur vie privée, donnant accès à des fichiers en vente sur le dark web. Entre 2022 et 2024, plus de 1 900 incidents informatiques ont été déclarés par des établissements de santé ou médico-sociaux, dont près de la moitié d'origine malveillante. Des incidents qui ont pour effet de passer en mode dégradé ou d'interrompre la chaîne de prise en charge des patients.
Dossiers patients bloqués, logiciels paralysés, données personnelles compromises : autant d'exemples aux conséquences directes sur l'organisation des soins, le respect du secret médical et la responsabilité professionnelle. Comme le rappelle Jean Canarelli, délégué général aux Données de santé, au Numérique et à l'Innovation auprès du Conseil national de l'ordre des médecins, "la médecine est un terrain de choix pour les cyberattaques en raison de la valeur des données médicales, que ce soit sur le plan mercantile mais aussi sur le plan symbolique". Ces données sont particulièrement sensibles, notamment dans des structures de soins moins lourdes que celles impactant les hôpitaux ou cliniques, avec des systèmes informatiques moins protégés. Or, certaines structures coordonnées méconnaissent encore l'étendue de leurs obligations en matière de protection des données. Les types d'attaque les plus courants vont concerner le vol de données, avec un accès non autorisé aux logiciels médicaux, une intrusion via des logiciels non mis à jour, le blocage des dossiers patients contre rançon ou encore la diffusion de faux e-mails (Urssaf, Assurance maladie, laboratoires d'analyses médicales...).
Comme le rappelle Jean Canarelli, pour se conformer au RGPD, les maisons et centres de santé doivent notifier à la Cnil, dans un délai de soixante-douze heures, "la nature de la violation de données à caractère personnel, communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact...". Rappelons qu'au-delà d'un seuil de 10 000 patients en file active, les structures d'exercice groupé sont tenues de désigner un délégué à la protection des données (DPO). Son rôle est essentiel, car il pourra proposer des mesures visant à remédier à cette fuite de données, communiquer sur le site de la MSP pour expliquer aux patients la nature de l'incident, les risques et les mesures de précaution à adopter, les actions engagées. Objectif : "Informer sans alarmer, en montrant que la situation est maîtrisée et que les patients sont accompagnés", rappelle l'Ordre.
