Ce guide a pour but de rappeler les précautions de sécurité à mettre en œuvre. La version 2024 le restructure et introduit de nouvelles fiches, notamment sur l’intelligence artificielle (IA), les applications mobiles, le cloud et les interfaces de programmation applicative (API).
Nouveautés :
Enfin, un journal des modifications a été créé afin d’identifier les nouveautés du guide plus aisément.
Ce guide constitue une référence dont les DPO, les responsables de la sécurité des systèmes d’information (RSSI), les informaticiens et les juristes de vos entités pourront se saisir dans le cadre de leurs activités liées à la sécurité des données. Il est également le guide de référence utilisé par la CNIL pour son appréciation de la sécurité des traitements de données personnelles.
En sus de ce guide, la CNIL a publié une plaquette cybersécurité 2024 dans laquelle elle rappelle le rôle du RGPD dans la prévention contre les risques cyber au travers de l’obligation de sécurité, principe fondamental inscrit depuis 45 ans dans la Loi Informatique et Libertés de 1978 et renforcé par le RGPD, « premier texte à imposer des obligations de cybersécurité précises de façon transversale et soumises au pouvoir de contrôle et de sanction d’une autorité administrative ».
La plaquette rappelle ce qu’est une violation de données et quelles sont la nature et les causes de ces violations mais aussi et surtout, au travers de la protection des données, le rôle du RGPD et de la CNIL en matière de cybersécurité, comme :
Cette plaquette accompagne le guide de sécurité des données personnelles et rappelle le contrôle systématique et les sanctions régulières prononcées par l’Autorité en matière de manquements à la sécurité tels que la transmission de données par une connexion non chiffrée, une politique de mots de passe non conforme, le défaut de verrouillage automatique des sessions des postes de travail (pourtant programmable) ou encore l’absence de test de vulnérabilité avant le développement d’un outil traitant des données personnelles.
Il n’est donc pas inutile de le consulter afin de se remémorer le b-a.-ba des sécurités à mettre en place et à vérifier par des audits flash au sein de vos structures.
Consultez ici les documents de la CNIL : CNIL, Guide pratique RGPD, Sécurité des données personnelles, Édition 2024 (mars 2024) ; CNIL, Plaquette cybersécurité 2024, 26 mars 2024
Les solutions pour faire face aux menaces cyber évoluent pour une sécurité en profondeur basée sur des technologies mêlant intelligence artificielle, mutualisation et utilisation d’informations diverses notamment.
Ces solutions dont fait partie l’authentification multifacteur (MFA – multi-factor authentication) permettent de répondre à l’obligation de sécurité des données prévue à l’article 32 du RGPD mais génèrent à leur tour des traitements de données dont la conformité audit RGPD doit également être assurée.
C’est donc dans ce contexte que la CNIL travaille à un projet de recommandation sur cette solution dont la finalité est de sécuriser les responsables de traitement (utilisateurs de MFA) (détermination d’une base légale par exemple) et d’encourager les fournisseurs à adopter une approche de protection de la vie privée dès la conception (minimisation des données, données de conservation notamment).
La CNIL soumet ainsi ce projet à consultation publique jusqu’au 31 mai 2024 pour permettre d’améliorer ce projet au regard de la réalité du terrain et de l’expérience des acteurs concernés.
Cette consultation s’adresse :
Dans le contexte actuel où les menaces cyber sont de plus en plus prégnantes induisant des sécurités renforcées auxquelles vos structures ont recours, précisément s’agissant de la connexion renforcée de vos adhérents à leur espace personnel, participer à cette consultation publique en appréhendant le projet de recommandation ne peut que vous permettre de vous saisir du sujet et de ses implications pour vos entités et vos prestataires.
En lien avec cette consultation publique, la CNIL a publié le 14 mars 2024 une fiche pratique : « Sécurité : Authentifier les utilisateurs » permettant de reconnaître ses utilisateurs pour leur donner ensuite, les accès nécessaires.
Cette fiche rappelle qu’un identifiant est propre à chaque utilisateur et qu’une authentification est indispensable afin de contrôler son identité et ses accès aux données dont il a besoin. Après avoir évoqué les mécanismes permettant de réaliser l’authentification, elle détaille les précautions élémentaires pour définir une bonne authentification (identifiant unique, respect des recommandations de la CNIL, choix de mots de passe robustes et accompagnement), les pratiques interdites (noter son mot de passe en clair) et propose des pistes pour aller plus loin (authentification multifactorielle, nombre limité de tentatives d’accès, recours à un outil générateur de mots de passe).
Consultez ici l’intégralité du document : Authentification multifacteur : consultation publique de la CNIL sur un projet de recommandation (CNIL, 28 mars 2024) ; CNIL, Fiche pratique « Sécurité : Authentifier les utilisateurs, 14 mars 2024
Le 22 février dernier, la Commission européenne a en effet validé deux projets de règlements délégués précisant certaines exigences du Pilier IV de DORA relatif à la gestion des risques liés aux prestataires de services de TIC (PTST)
Ces actes portent précisément sur :
N.B : des ajustements du montant de cette redevance sont prévus pour la première liste publiée et pour la première année au cours de laquelle le PTST sera désigné comme critique.
Ces deux textes devraient faire l’objet d’une publication officielle après le 22 mai 2024, à la fin du délai de présentation des objections.
Dans ce contexte, les AES se préparent à l’entrée en application du DORA et ont lancé les 1ers recrutements afin de mettre en place l’équipe conjointe de surveillance du Règlement.
Cette équipe, comprenant un directeur, des experts juridiques et conformité et des experts en risques TIC, sera totalement intégrée au sein des 3 AES.
Consultez ici l’intégralité des documents : Règlement délégué (UE) …/… de la Commission, 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières ; Règlement délégué (UE) …/… de la Commission du 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil en déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances
Déjà à mi-parcours, l’Assurance maladie se félicitait des résultats probants qu’elle avait obtenu en matière de lutte contre les fraudes de par les nouveaux moyens d’action mis à sa disposition et l’adoption d’une stratégie efficace.
Et à fin 2023, le bilan de ses contrôles parle de lui-même puisque ce sont près de 466 millions d’euros de fraudes qui ont été détectées et stoppées au total, dépassant largement l’objectif initial de 380 millions d’euros qui lui avait été fixé.
Ainsi, sur la répartition des fraudes détectées par l’Assurance maladie, plus de la moitié étaient le fait d’assurés pour près de 20 % du préjudice financier total. Inversement, plus de 70 % du préjudice financier a émané de fraudes commises par des professionnels de santé, moins nombreuses (près de 26 %) mais plus coûteuses.
En l’occurrence, s’agissant les fraudes commises par les professionnels de santé, les pharmaciens conservent la première place, suivis par les centres de santé et les infirmiers.
Face à l’émergence de nouvelles formes de fraudes, liées à l’irruption de nouveaux acteurs dans le domaine de la santé ou à des risques nouveaux, les campagnes de contrôle réalisés en 2023 ont d’ailleurs particulièrement ciblé les centres de santé, entraînant 21 déconventionnements (12 avec une activité ophtalmologique, 2 avec une activité dentaire et 7 au titre des deux activités) et évitant ainsi un montant de 58,1 millions d’euros de fraudes (contre 7 M€ seulement en 2022).
De plus, avec le déploiement du 100 % santé sur la prise en charge des appareils auditifs, l’Assurance maladie a constaté une augmentation marquée de l’installation de nouvelles sociétés d’audioprothésistes sur l’ensemble du territoire. Dans ce cadre, un plan national de lutte contre la fraude des audioprothésistes a été déployé et a ainsi permis d’éviter 21,3 millions d’euros de fraudes tenant pour plus d’un tiers à l’absence d’examen ou d’acte préalable par un médecin comme requis puis, pour plus de 20% à l’absence de délivrance réelle de l’appareillage et enfin pour 15% environ, à de fausses prescriptions médicales.
Concernant les fraudes commises par les assurés, celles qui ont été détectées et stoppées sont évaluées à 91 millions d’euros, soit une augmentation de 33 % par rapport à 2022 (68 M€). L’essentiel de ces fraudes portent sur le versement de prestations en espèces avec une démultiplication des fraudes en lien avec de faux arrêts de travail et des fraudes aux rentes et pensions d’invalidité.
Les fraudes à l’identité pour l’obtention de droits à l’Assurance maladie ne sont elles aussi pas en reste de la part des assurés.
Grâce aux évolutions législatives et conventionnelles récentes, notamment au travers du renforcement de l’arsenal répressif à sa disposition et de la procédure de déconventionnement d’urgence, l’Assurance Maladie a donc bien l’intention en 2024 de poursuivre sa politique de fermeté face aux fraudeurs.
Elle investira d’ailleurs à cet effet dans des moyens humains et techniques pour lutter contre les fraudes émergentes, en recrutant notamment 60 cyber-enquêteurs disposant de prérogatives de police judiciaire et 300 nouveaux agents exclusivement dévolus à cette mission de lutte contre la fraude d’ici 2027.
De tels résultats sont de bon augure pour les OCAM qui à la lecture de ce bilan auront peut-être le sentiment d’être moins démunis dans la lutte contre la fraude aux prestations santé. Autant que de besoin, l’Assurance maladie met d’ailleurs à leur disposition la liste de ses correspondants fraude par région et par CPAM pour leur permettre de leur adresser des signalements relatifs à des fraudes qu’ils ont détectées.
Vous pouvez solliciter cette liste auprès du Cabinet.
Consultez ici l’intégralité du document : Bilan 2023 de la lutte contre les fraudes à l’Assurance Maladie (28 mars 2024)
