Samedi, l’hôpital Saint-Pierre a subi une cyberattaque, qui a mis à mal le fonctionnement de nombreuses applications, dont les dossiers patients et les lignes téléphoniques, qui sont restées un temps inaccessibles. Une fois de plus des questions se posent en matière de prévention pour diminuer les risques de telles attaques. Avec en filigrane la responsabilité du médecin en cas de non-respect des règles de sécurité.

Récemment, dans un article qui abordait la problématique de la cybersécurité dans les hôpitaux belges, la question de la responsabilité des médecins à propos des données qu’ils traitent avec les patients a été évoquée. « L’hôpital ne sera plus le seul incriminé en cas de non-respect des règles de sécurité » soulignait l’un des intervenants. « Dans le contrat de travail du médecin, il y a une clause qui prévoit la faute grave en cas de non-respect de ces règles de sécurité. »

Que dit l’Ordre ?
Plusieurs médecins se sont interrogés sur ces propos. Nous avons posé la question à l’Ordre des Médecins. Le Pr Christian Melot, Vice-Président francophone du Conseil de l’Ordre précise le cadre actuel : « Le médecin chef de l’hôpital a la responsabilité des archives médicales de l’hôpital. En concert avec le DPO, il veille à la protection des données selon le RGPD. En matière de cybersécurité, il travaille avec le service informatique de l’hôpital. »
Des outils adaptés
Au quotidien, dans sa pratique, le médecin se doit de travailler avec des outils sécurisés : « Lorsqu’un médecin exerce à l’hôpital, il est impératif qu’il travaille avec les logiciels de l’hôpital et qu’il respecte les normes de sécurité informatique (changement régulier de mot de passe, …). Il arrive qu’il puisse accéder à distance aux logiciels médicaux de l’hôpital via un ordinateur fourni et sécurisé par l’hôpital. Le plus souvent, il télécharge sur son PC personnel un logiciel sécurisé connecté avec l’hôpital via un réseau VPN et une double authentification. Souvent la connexion à distance ne permet pas de télécharger des données, mais seulement de les consulter. De même, l’impression n’est pas possible sauf sur l’imprimante de son bureau à l’hôpital. »
Des habitudes à surveiller
Certains médecins prennent parfois des libertés en matière d’archivage ou ont conservé de vieilles habitudes liées à leur pratique : « Malheureusement, les outils de capture d’écran permettent parfois de sauvegarder sur un PC personnel des données personnelles des patients. Là aussi, le médecin est responsable de ce qu’il fait. Dans le contrat de travail du médecin, il y a une clause qui prévoit la faute grave en cas de non-respect de ces règles de sécurité. Il faut que le médecin prenne conscience de ces problèmes de cybersécurité et suive les consignes du service informatique. La sécurité est l’affaire de tous les acteurs et la responsabilité du médecin est engagée. »
Des assurances existent

Pour Christophe Celio, Cyber Security Leader du Procsima-Group, la responsabilité des médecins est en effet une nouvelle réalité : « Les médecins sont responsables de la manière dont ils traitent la donnée du patient. Ils doivent prendre les mesures nécessaires en matière de sécurité informatique. Ils pourraient avoir des astreintes financières s’ils ne respectent pas les règles. »

A ce niveau, des assurances existent pour les médecins : « Ils peuvent se faire assurer tant au niveau des sociétés ou des institutions pour lesquelles ils travaillent, qu’à titre individuel. Il y a des assurances de responsabilité civile et/ou professionnelle dans la plupart des grandes sociétés d’assurances. Les médecins doivent remplir un questionnaire précis sur la manière dont ils travaillent, avec quel matériel...le questionnaire concerne tant le lieu de travail en institution que la pratique en cabinet privé d’un médecin. Leur niveau de sécurité est évalué et les primes sont adaptées en conséquence et les montants varient suivant les situations. »

Lire aussi :

> Les urgences du CHU Saint-Pierre momentanément fermées en raison d'une cyberattaque

>  Cybersécurité : « Une attaque par jour contre nos hôpitaux »