Et maintenant, une plainte contre le centre hospitalier de Corbeil-Essonnes. La pression est toujours forte sur l’hôpital francilien, en pleine crise depuis la cyberattaque dont il a été victime à la fin août. Une association, L’Union nationale des associations citoyennes de santé, cherche en effet à engager la responsabilité de l’hôpital devant la justice administrative.
Questionnement sur le choix des prestataires
Selon Me Emmanuel Ludot, le conseil de l’association cité par TF1, cette procédure doit permettre in fine d’améliorer la sécurité informatique des hôpitaux. L’association dénonce notamment « le choix de prestataires en sous-traitance de la maintenance informatique dont la mission a été à l’évidence défectueuse » et une absence d’information et de consultation des patients à propos de leur dossier médical.
Ce n’est pas la première fois que l’association, cataloguée dans la galaxie des antivax, porte le fer en justice. Visiblement pas spécialisée sur les enjeux numériques, elle avait également tenté d’attaquer l’ancien ministre de la Santé Olivier Véran sur ses déclarations sur l’origine de la pandémie de coronavirus.
Responsabilité juridique
Quel que soit le résultat de cette procédure, l’affaire rappelle que les victimes d’un piratage peuvent également avoir une responsabilité juridique vis-à-vis de leurs utilisateurs. Des poursuites qui peuvent se baser sur le règlement général sur la protection des données. « Se faire attaquer n’est pas blâmable, par contre l’absence de réaction et d’accompagnement l’est », résume l’avocat Alexandre Archambault.
C’est un raisonnement similaire qui a entraîné la condamnation aux Etats-Unis de l’ancien responsable de la sécurité informatique d’Uber, Joseph Sullivan. Ce dernier était poursuivi pour avoir dissimulé en 2016 une attaque informatique ayant permis une fuite de données personnelles d’environ 57 millions d’utilisateurs de la plateforme.
Evaluation du risque
Quoiqu’il en soit, quelle pourrait être la responsabilité d’un hôpital visé par une attaque informatique ? Pour Cédric Cartau, un expert de la sécurité informatique hospitalière et l’un des vice-présidents de l’Association pour la promotion de la sécurité des systèmes d’information, les structures responsables d’un traitement de données ont une obligation de moyens pour garantir « un niveau de sécurité adapté au risque ».
Une appréciation du risque, note Cédric Cartau en substance, qui pourrait être sujet à débat. « Subir une cyberattaque en 2019, c’est un aléa », observe-t-il dans le magazine DSIH, en référence à l’attaque contre le centre hospitalier universitaire de Rouen. « Mais subir une cyberattaque en 2022, quand un hôpital par semaine se fait attaquer, est-ce toujours un aléa ? »