Cyberattaque contre le logiciel Weda : les médecins doivent-ils alerter tous leurs patients ?

"Weda nous demande d'informer tous nos patients de la cyberattaque par mail. […] J'ai environ 10 000 patients, la majorité sont âgés, la majorité n'ont pas d'adresse mail, beaucoup n'ont pas de portable mais uniquement un numéro de téléphone fixe. Que dois-je faire, envoyer 10 000 courriers par la poste ?", questionnait, dans un courrier, une rhumatologue libérale installée en Creuse, à la suite de la cyberattaque contre le logiciel Weda survenue lundi 10 novembre. "Désespérée et fatiguée", la praticienne a sollicité le concours de la CSMF pour en savoir plus sur les obligations qui incombent aux médecins ayant subi les conséquences de cet incident majeur.

La CSMF a ainsi écrit à la ministre de la Santé, réclamant un "appui opérationnel pour les médecins concernés et protecteur des patients". La "tentative d'intrusion" survenue le 10 novembre a provoqué "plusieurs jours d'impossibilité totale d'accéder au logiciel médical", avec "une reprise partielle et instable de l'activité" ("de nombreuses fonctionnalités" étant "encore inaccessibles"), rappelle la CSMF dans son courrier. Cela a notamment représenté "des heures de ressaisie manuelle des consultations pour les patients déjà suivis", poursuit le syndicat. Et de mentionner "l'impossibilité" de créer des dossiers pour les nouveaux patients.

Au-delà du cas de cette rhumatologue, "de nombreux médecins libéraux sont actuellement dans la même situation, sans soutien opérationnel suffisant ni doctrine claire sur leurs obligations d'information vis-à-vis des patients lorsqu'une cyberattaque touche leur prestataire informatique", pointe la CSMF. Pour l'heure, on ignore toujours si des données appartenant aux patients ou aux professionnels de santé utilisateurs ont pu être dérobées par les hackers. 

Jugeant "légitimes" les "préoccupations" des médecins, "en particulier face à l'injonction d'informer les patients", le ministère de la Santé a répondu à l'appel de la CSMF, qui a publié la réponse sur son site. S'agissant du devoir de notification à la Cnil, le ministère indique qu'"étant donné que Weda a déjà notifié l'incident et que les médecins ont des difficultés à qualifier la violation par eux-mêmes, il n'est pas nécessaire pour les médecins de reboucler avec la Cnil". "La priorité est de s'assurer que Weda remplit son devoir d'assistance", assure Ségur.

Sur l'information du patient, principal nœud du problème pour les médecins, le ministère rapporte que l'éditeur "estime que le risque est potentiellement élevé et recommande une communication globale". "Toutefois, Weda doit fournir la preuve et la justification du risque élevé et transmettre tous les éléments complets nécessaires au contenu de l'information (conséquences précises, mesures détaillées, etc.) pour que le médecin", responsable du traitement des données au titre du RGPD, "puisse procéder".

Un affichage en cabinet "pourrait être une solution proportionnée"

"L'exigence faite aux praticiens de contacter individuellement, par exemple 10 000 patients, dont une majorité n'a ni email ni portable, paraît disproportionnée et irréaliste dans les conditions actuelles (charge de travail, absence de secrétaire, coût)", juge le ministère. "Le principe de proportionnalité devrait s'appliquer aux modalités de cette information, et l'affichage en cabinet […] pourrait être une solution proportionnée dans l'attente d'une clarification", poursuit l'institution, qui précise que "cela sera à rediscuter avec la Cnil lorsque les investigations auront permis de préciser la réalité des faits".

La CSMF propose un exemple de court texte à destination des patients : "Notre logiciel médical Weda a été victime d'une cyberattaque. Certaines données personnelles ou médicales ont pu être potentiellement concernées. Le cabinet reste mobilisé pour assurer la continuité des soins. Pour toute question, vous pouvez nous contacter lors de votre prochaine venue. Dès que Weda fournira des informations complètes et fiables, nous vous en informerons." Sur Doctolib (voir capture ci-dessous), cette généraliste propose une version explicative plus détaillée.

Prenant acte de la "maladresse de communication" de Weda et "de la nécessité d'une doctrine claire", le ministère de la Santé ajoute avoir demandé au logiciel de "proportionner [ses] demandes auprès des médecins pour ne pas ajouter de contraintes supplémentaires qui ne seraient pas jugées directement nécessaires par la Cnil". Elle assure poursuivre l'accompagnement de l'éditeur par les agences dédiées (ANSSI) "pour les aider à caractériser la réalité des fuites de données, ce qui permettra ensuite de définir les mesures RGPD adéquates".

"Dès que les faits seront avérés et objectivés, nous solliciterons la Cnil et l'ANSSI avec les nouveaux éléments de contexte, non pas pour une notification (comme cela était demandé par Weda aux médecins), mais pour obtenir une doctrine d'urgence et proportionnée sur les modalités d'information des patients […] prenant en compte les réalités du terrain (par exemple : zones sous-denses, absence de coordonnées électroniques)", précise le ministère. Enfin, le Centre opérationnel de régulation des réponses aux urgences sanitaires et sociales (CORRUSS) a été saisi de la situation "et est en train d'en évaluer les conséquences et actions nécessaires". A l'instar des agences régionales de santé et CPAM.