Les pratiques de télémédecine et de santé connectée dans les établissements de santé devront intégrer la directive européenne NIS (Network and Information Security)

 La Directive européenne "Network and Information Security" (NIS) du 6 juillet 2016 s'appliquera aux établissements de santé définis comme des "opérateurs de services essentiels". Tous les Etats membres ont jusqu'au 9 mai 2018 pour la transposer dans le droit national. En France cette transposition sera assurée par l'Agence nationale de la sécurité des systèmes d'information (Anssi)

Cette directive vise à renforcer les capacités nationales de cybersécurité, à établir un cadre de coopération volontaire entre les Etats membres de l'UE concernant les politiques de cybersécurité et de partage d'informations techniques, à renforcer la cybersécurité des opérateurs de services essentiels et à instaurer des règles européennes communes en matière de cybersécurité des prestataires de services numériques.

Elle demande aux Etats membres la mise en place  d'une autorité compétente ou de centres de réponse aux incidents de sécurité informatique (CSIRT) dont la mission est de recevoir les notifications d'incidents.

Alors que les établissements de santé publics se préparent à intégrer des pratiques de télémédecine et de santé connectée, notamment dans le projet médical partagé des GHT (voir sur ce site le billet "le souffle GHT" dans la rubrique "L'Edito de semaine"), voyons ce que ces établissements devront prévoir pour que ces pratiques soient en conformité avec le droit national et le droit européen en matière de cybersécurité.

Tout d'abord, parmi les 75 considérants initiaux, la directive rappelle que

(1) Les réseaux et les services et systèmes d'information jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles aux fonctions économiques et sociétales et notamment au fonctionnement du marché intérieur.

(2) L'ampleur, la fréquence et l'impact des incidents de sécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d'information. Ces systèmes peuvent également devenir des cibles pour des actions intentionnelles malveillantes qui visent à la détérioration ou à l'interruption de leur fonctionnement. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et porter un grand préjudice à l'économie de l'Union.

(52) Les opérateurs de services essentiels et les fournisseurs de service numérique devraient garantir la sécurité des réseaux et des systèmes d'information qu'ils utilisent. Il s'agit principalement de réseaux et de systèmes d'information privés qui sont gérés par leurs propres services informatiques ou dont la gestion de la sécurité a été sous-traitée. Les exigences en matière de sécurité et de notification devraient s'appliquer aux "opérateurs de services essentiels" et aux "fournisseurs de service numérique" concernés, que la maintenance de leurs réseaux et systèmes d'information soit assurée en interne ou qu'elle soit sous-traitée

La directive donne ensuite à son article 4 plusieurs définitions, dont celle d'un "opérateur de services essentiels" : une entité publique ou privée dont le type figure à l'annexe II et qui répond aux critères énoncés à l'article 5, paragraphe 2; 

On retrouve à l'annexe II la liste de ces "opérateurs de services essentiels" (dans les secteurs de l'énergie, des transports, des banques, etc.), dont ceux du secteur de la santé :" les établissements de soins de santé (y compris les hôpitaux et les cliniques privées), correspondant aux types d'entités suivants: prestataires de soins de santé au sens de l'article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil ( Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l'application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).)

Les critères d'identification des "opérateurs de services essentiels", énoncés à l'article 5, paragraphe 2 sont les suivants :
a)  une entité qui fournit un service essentiel au maintien d'activités sociétales et/ou économiques critiques;
b)  la fourniture d'un service qui est tributaire des réseaux et des systèmes d'information; et
c)  le risque d'un incident qui aurait un effet disruptif important sur la fourniture dudit service.

L'importance d'un effet disruptif  est caractérisée par le nombre d'utilisateurs tributaires du service, la dépendance d'autres secteurs à l'égard du service fourni, les conséquences organisationnelles et financières de ces incidents,  l'importance que revêt l'entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

La directive précise également à l'article 4 ce qu'il faut entendre par "réseau et système d'information"

a)  un réseau de communications électroniques au sens de l'article 2, point a), de la directive 2002/21/CE; (système de transmission et, le cas échéant, les équipements de communication ou de routage et les autres ressources qui permettent l'acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d'autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux terrestres fixes (avec communication de circuits ou de paquets, y compris l'internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu'ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux cablés de télévision, quel que soit le type d'information transmise.)
b)  tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques; ou
c)  les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance.

Quel impact aura cette directive européenne lorsqu'elle sera retranscrite dans le droit national sur les pratiques de télémédecine et de santé connectée entre plusieurs établissements de santé,notamment au sein d'un GHT, ou de toute autre organisation ?

Rappelons tout d'abord que le décret français de télémédecine du 19 octobre 2010 prévoit à l'article R.6316-4 que les incidents techniques survenus lors de la réalisation de l'acte de télémédecine soient inscrits dans  le dossier médical du patient tenu par chaque professionnel de santé médical. La prise de conscience des risques par la puissance publique existe depuis 2009.

Cette nouvelle directive, à n'en pas douter, créera une exigence élevée de sécurité et de fiabilité  dans les pratiques de télémédecine et de santé connectée entre les établissements de santé, que ce soit dans le cadre d'un GHT ou d'une autre organisation (HAD, notamment).

Illustrons cette importante question par quelques exemples :

Le télésuivi au domicile ou dans des substituts (EHPAD) des patients atteints de maladies chroniques va concerner à court et moyen terme plusieurs millions de personnes dans les pays membres de l'UE. En France, l'étude ETAPES qui se déroule jusqu'en 2019 concerne 2 millions de personnes en ALD. Les solutions industrielles de services de télémédecine auront la responsabilité d'assurer le transfert de données de santé à caractère personnel de plusieurs centaines de milliers de patients. Ces plateformes  de télésurveillance seront généralement installées au sein d'établissements de santé et/ou de GCS e-santé, qui devront assurer la fiabilité et la sécurité de leur fonctionnement 24h sur 24, 7 jours sur 7 (télésurveillance synchrone des maladies chroniques sévères ou complexes). Un incident "disruptif" des réseaux et systèmes d'information pourra concerner en même temps plusieurs dizaines de milliers de patients et générer ainsi de potentielles pertes de chance pour les patients.

L'organisation du télé AVC au sein d'un GHT doit fonctionner 24h/24 et 7 jours sur 7. Une interruption du réseau numérique et/ou du système d'information hospitalier pendant plusieurs heures pourrait générer des pertes de chance dans la phase aigue de l'AVC, privant un patient d'un établissement périphérique de l'expertise obligatoire du neurologue vasculaire de l'UNV et surtout de la solution de thrombolyse qui nécessite préalablement le transfert de l'imagerie cérébrale au neurologue vasculaire ou au neuroradiologue de l'établissement pivot pour confirmer le caractère ischémique de l'AVC.

L'organisation de la télédialyse dans les régions d'Outre-mer permet à des patients insuffisants rénaux, isolés dans les îles, d'être traités par dialyse en l'absence de néphrologue sur place. Tout incident disruptif du réseau numérique pendant plusieurs heures pourra générer des pertes de chance, ainsi que des coûts d'évacuation sanitaire.

Et bien d'autres exemples....

La directive vise aussi à prévenir les attaques malveillantes, notamment de nature criminelle, des systèmes d'information hospitaliers. En matière de télémédecine et de santé connectée, la prévention de telles attaques passe par une très grande rigueur d'usage des objets connectés, ainsi que des Smartphones à usage personnel (voir sur ce site le billet "Mobile Health" dans la rubrique Edito de la semaine)