Question de M. KHALIFÉ Khalifé (Moselle - Les Républicains-A) publiée le 03/10/2024
M. Khalifé Khalifé attire l'attention de M. le ministre de l'intérieur sur la protection des données personnelles de santé face aux cyberattaques ciblant certaines plateformes de tiers-payant. La protection des données personnelles est particulièrement cruciale dans le secteur de la santé, secteur fréquemment visé par des cyberattaques de diverses origines. Notamment dans le domaine de l'optique, de récentes cyberattaques significatives ont touché des opérateurs qui gèrent le tiers-payant pour de nombreux organismes complémentaires d'assurance maladie, entraînant le piratage de plus de 33 millions de dossiers de patients. D'après la commission nationale de l'informatique et des libertés (CNIL), seules les données nécessaires au traitement des dossiers seraient concernées, incluant l'état civil, la date de naissance, le numéro de sécurité sociale, le nom de l'assureur et les garanties du contrat d'assurance. Toutefois, dans le domaine de l'optique, la majorité des opérateurs de tiers-payant conditionnent le remboursement des frais d'optique à la transmission de données personnelles de santé, y compris pour les contrats responsables. Au-delà des considérations financières, se pose la question du respect des libertés fondamentales et de la protection de la vie privée, valeurs cardinales garanties par notre Constitution. La protection des données personnelles de santé doit être une priorité nationale. Les professionnels de santé expriment leur inquiétude face au risque de voir les données de leurs patients être piratées. Par conséquent, il l'interroge sur les mesures urgentes envisagées pour contrer ces cyberattaques et mieux protéger les données personnelles de santé de nos concitoyens.
- page 3491
Transmise au Ministère de l'intérieur
Réponse du Ministère de l'intérieur publiée le 17/04/2025
La mise en place des dispositifs de sécurisation des systèmes et de protection des données relève de l'ANSSI, service du Premier ministre, qui est l'autorité nationale en matière de cybersécurité, notamment concernant les infrastructures numériques publiques et privées les plus critiques. Aussi, dans ce domaine, l'action des services du ministère de l'intérieur s'inscrit dans la politique globale de l'agence nationale de la sécurité des systèmes d'information (ANSSI) et s'associe aux éléments de prévention largement diffusés auprès des professionnels et établissements de santé. Dans la lutte contre les cyber-attaques visant l'extorsion de données (rançongiciels et attaques en déni de service), le rôle de veille et d'analyse du COMCYBER-MI vient compléter les actions menées par les forces de sécurité intérieure (unité nationale cyber de la gendarmerie et office anti-cybercriminalité de la police nationale) en matière de prévention, de diagnostic, d'investigations de pointe et d'expertise. Le secteur de la santé est en effet particulièrement visé par des cyberattaques dont la motivation est principalement financière. Le commandement du ministère de l'intérieur dans le cyberespace (COMCYBER-MI) a ainsi détecté, en 2024, vingt-deux attaques visant principalement des établissements de santé, des pharmacies et plus rarement des praticiens. Il s'agit alors majoritairement d'attaques par rançongiciels, visant le blocage du système d'information et la menace de diffusion de données volées jusqu'au paiement d'une rançon, ou de vols et de diffusion de données de patients. Dans le secteur de l'optique, seule une attaque mineure par "déni de service distribué" a été détectée à l'encontre du site internet d'une marque d'opticien. Il n'existe pas de bases de données spécifiques aux soins ou à la prise en charge en matière ophtalmologique. Au contraire, les opérateurs assurant la gestion de tiers payant auprès des mutuelles de santé recherchent souvent une mutualisation de leurs plateformes d'hébergement de données de santé. Ces dernières font régulièrement l'objet de fuites. L'exploitation des bases judiciaires permet dans ce domaine d'identifier une fuite de données massive visant deux opérateurs survenue en janvier 2024. Par le biais d'un mode opératoire sophistiqué, les cybercriminels ont pu exfiltrer des données concernant 33 millions d'assurés (état civil, date de naissance, numéro de sécurité sociale, nom de l'assureur santé). Cette attaque vise principalement à partager ou à proposer à la vente ces données auprès de groupes cybercriminels spécialisés dans les escroqueries massives en ligne. Complément de la DSS Toute entité publique comme privée qui met en oeuvre un traitement de données à caractère personnel est soumise aux obligations du règlement général sur la protection des données (RGPD) et de la loi n° 78-17 du 6 janvier 1918 relative à l'informatique, aux fichiers et aux libertés. Ce cadre juridique complet suppose que lorsque cette entité fait appel à un sous-traitant pour effectuer tout ou partie des opérations de traitement, elle doit conclure un contrat de sous-traitance. Celui-ci définit les missions du prestataire, ses obligations en matière de sécurité et de confidentialité des données exploitées et enfin les règles applicables en cas de fuite de données (modalités de notification de la Commission informatique et libertés, CNIL, et d'information des personnes concernées). Il revient à la CNIL de mener des investigations, à la suite de la notification d'une fuite de données, afin de déterminer si les mesures de sécurité mises en oeuvre par les opérateurs de tiers-payant préalablement à l'incident et en réaction à celui-ci sont appropriées au regard de leurs obligations. En cas de manquement, la CNIL appliquera les procédures et les peines prévues non seulement par la loi informatique et libertés mais par le code pénal. Concernant l'attaque elle-même, une enquête a été confiée à la Brigade de Lutte Contre la Cybercriminalité de la Préfecture de Police de Paris. Le ministère de l'Intérieur a mis en place un formulaire en ligne sur son site (www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys) afin de faciliter le dépôt de plainte des personnes concernées par la fuite. Le ministère chargé de la santé et de la sécurité sociale est particulièrement vigilant en matière de cybersécurité et de protection de la vie privée. Par un courrier en date du 22 mai 2024, la ministre a rappelé aux opérateurs de la protection sociale l'importance de garantir la sécurité des données des assurés. Un comité de pilotage ministériel a été mis en place pour veiller à la bonne prise en compte des enjeux de sécurité numérique.
- page 1933
Page mise à jour le