Amélioration de la lutte contre les cyberattaques des établissements de santé
Le rapport annexé à la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur (1) a récemment souligné la multiplication et l’augmentation notable des cyberattaques :
« depuis plusieurs années, avec des taux de progression des faits constatés allant 10 % à 20 % d’une année sur l’autre selon le type d’infraction », lesquelles « impactent tout particulièrement l’activité du secteur de la santé (hôpitaux, centres de recherche médicale, EPHAD, etc.) » (2).
De nombreux établissements de santé français ont ainsi été touchées par des cyberattaques. On pense notamment à l’attaque par rançongiciel qu’a subi l’hôpital sud francilien de Corbeil-Essonnes le 20 août 2022 (3). Les fichiers ont été chiffrés par les hackers et certaines données ont été diffusées.
Les cyberattaques des établissements de santé
Comme l’explique la circulaire d’application de la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur, dite LOPMI (2),
« une atteinte à un système de traitement automatisé de données (ASTAD) peut entraîner la suspension temporaire de l’activité médicale des établissements qui en sont victimes. Cette rupture d’activité peut alors avoir des conséquences particulièrement importantes sur les prises en charge et la continuité des soins (transfert de patients, arrêt des systèmes monitoring, etc.) et/ou sur leur accès aux numéros d’urgence (arrêt des systèmes de numéros de mise en danger d’autrui appliquée aux ASTAD ».
C’est dans ce contexte que la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur, dite LOMPI (4) a inséré dans le code pénal une nouvelle circonstance aggravante liée à la mise en danger d’autrui, appliquée aux atteintes aux systèmes de traitement automatisé de données (STAD) (article 323-4-2 du code pénal).
Cyberattaques et mise en danger d’autrui
L’article 323-4-2 du Code pénal dispose ainsi :
« Lorsque les infractions prévues aux articles 323-1 à 323-3-1 ont pour effet d’exposer autrui à un risque immédiat de mort ou de blessures de nature à entraîner une mutilation ou une infirmité permanente ou de faire obstacle aux secours destinés à faire échapper une personne à un péril imminent ou à combattre un sinistre présentant un danger pour la sécurité des personnes, la peine est portée à dix ans d’emprisonnement et à 300 000 € d’amende ».
Cette aggravation devrait logiquement être mobilisée lorsqu’une attaque vise, entre autres, un établissement de santé.
Nos avocats peuvent vous accompagner, n’hésitez pas à nous contacter : paris@lexing.law
Raphaël Liotier
Morgane Ammar
Léa Elbaz Bialostocki (étudiante en droit)
Lexing Contentieux Numérique
(1) Rapport annexé au projet de loi d’orientation et de programmation du ministère de l’Intérieur.
(2) Circulaire n° CRIM-2023-02 du 3 février 2023 relative à la présentation des dispositions de la loi n°2023-22.
(3) « Cyberattaque de l’hopital sud francilien de Corbeil-Essonnes : des premières données volées diffusées », Marc Taubert pour Franceinfo, 25 septembre 2022.
(4) Loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur.