-
- Art. 3 Cst.
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
ORDONNANCE SUR LES DISPOSITIFS MÉDICAUX
LOI SUR LE BLANCHIMENT D’ARGENT
- I. Généralités
- II. Obligation de diligence pour les établissements de santé (al. 1)
- III. Gestion des risques pour les hôpitaux (al. 2)
- IV. Conséquences juridiques en cas de violation du devoir de diligence
- Bibliographie
- Matériaux
I. Généralités
1 Ces dernières années, il est apparu que les hôpitaux et autres établissements de santé sont devenus des cibles de plus en plus prisées pour les cyberattaques. Cette tendance à la multiplication des cyberattaques contre les hôpitaux et les établissements de santé ne s'observe pas seulement en Suisse, mais dans le monde entier. La motivation est claire : une panne de l'infrastructure technique (p. ex. des appareils médicaux vitaux ou du système d'information de la clinique) dans un hôpital peut avoir des conséquences catastrophiques, raison pour laquelle de telles cibles semblent particulièrement lucratives pour les cybercriminels. De telles cyberattaques peuvent d'une part avoir des conséquences financières désastreuses pour les établissements de santé concernés. D'autre part, elles peuvent avoir des répercussions négatives sur les patients, car des appareils médicaux de maintien en vie peuvent être touchés ou parce que des opérations déjà prévues doivent être reportées. Cette problématique a été reconnue et abordée dans le cadre de la révision de l'ordonnance sur les dispositifs médicaux en 2020. La révision de l'ODim, entrée en vigueur le 21 mai 2021, a créé un nouvel art. 74 ODim qui impose aux établissements de santé et aux hôpitaux des obligations de diligence spécifiques en matière de cybersécurité.
2 Il convient de distinguer l'art. 74 ODim des dispositions correspondantes - fédérales ou cantonales - de protection des données (p. ex. art. 8 LPD), qui servent à protéger les données personnelles. En revanche, l'art. 74 ODim ne sert pas en premier lieu à la protection des données des patients, mais à la protection contre une panne de l'infrastructure technique de l'établissement de santé due à des attaques électroniques sur des dispositifs médicaux en réseau. Les deux domaines ne peuvent toutefois pas être totalement séparés, car une violation de l'ODim 74 peut également entraîner une violation des dispositions de sécurité en matière de protection des données (art. 8 LPD), étant donné que de nombreux dispositifs médicaux compatibles avec un réseau (comme les tomographes ou les appareils à ultrasons) traitent également des données de patients et que ces données se trouvent en partie sur le dispositif médical.
3 En outre, il convient de distinguer les obligations prévues à l'art. 74 ODim de l'obligation des fabricants de fabriquer et de mettre sur le marché des dispositifs médicaux sûrs. Selon l'art. 6 al. 2 ODim, les dispositifs médicaux doivent satisfaire aux exigences essentielles de sécurité et de performance énoncées à l'annexe I du règlement (UE) 2017/745 (« EU-MDR »). L'annexe I de l'EU-MDR définit aux points 17.2 et 17.4 des exigences (de sécurité) générales en matière de cybersécurité pour les dispositifs dont les composants sont des systèmes électroniques programmables et les dispositifs sous forme de logiciel. Dans le cas des produits qui comportent un logiciel ou qui se présentent sous la forme d'un logiciel, le logiciel est développé et produit conformément à l'état de la technique, en tenant compte des principes du cycle de vie des logiciels, de la gestion des risques, y compris de la sécurité de l'information (ch. 17.2 de l'annexe I de la directive EU-MDR). Les fabricants doivent fixer des exigences minimales concernant le matériel, les caractéristiques des réseaux informatiques et les mesures de sécurité informatique, y compris la protection contre les accès non autorisés, qui sont nécessaires pour l'utilisation conforme du logiciel (ch. 17.4 de l'annexe I de la directive européenne sur les dispositifs médicaux). Ces obligations en matière de cybersécurité - en quelque sorte la « première ligne de défense » contre les cyberattaques - incombent au fabricant et doivent être prises en compte dès le développement des dispositifs médicaux. En revanche, les obligations selon l'art. 74 ODim ne concernent pas le fabricant, mais les utilisateurs - c'est-à-dire les établissements de santé - et s'ajoutent aux obligations des fabricants. Ainsi, le thème de la cybersécurité est réglé par la loi non seulement au niveau du fabricant, mais aussi au niveau de l'utilisateur, et il existe une double protection en ce qui concerne les cyberattaques. Dans la pratique, on constate toutefois qu'au niveau des fabricants, les efforts en matière de cybersécurité ne correspondent pas toujours aux attentes des utilisateurs. Cela s'explique notamment par le fait que ces dispositifs médicaux compatibles réseau disposent en règle générale d'une composante logicielle étendue qui est adaptée (et certifiée) à certains systèmes d'exploitation dans le cadre de la certification. Les hôpitaux ne peuvent toutefois pas procéder à des mises à jour sans la collaboration des fabricants, et ces derniers ne disposent parfois pas des mises à jour correspondantes, car la compatibilité après la mise à jour nécessiterait dans certaines circonstances une recertification du dispositif médical, ce que ne souhaitent pas les fabricants. Par conséquent, dans la pratique, les hôpitaux sont parfois contraints de faire fonctionner des dispositifs médicaux sur d'anciens logiciels, qui peuvent éventuellement servir de porte d'entrée pour des cyber-attaques. Pour y remédier, il convient dans ce cas d'isoler le dispositif médical et le logiciel du reste du système afin qu'il ne soit plus possible d'accéder au reste du système de l'hôpital via ce dispositif médical.
II. Obligation de diligence pour les établissements de santé (al. 1)
4 L'al. 1 de l'art. 74 ODim exige des établissements de santé qu'ils prennent toutes les mesures techniques et organisationnelles requises par l'état de la technique pour assurer la protection des dispositifs médicaux pouvant être mis en réseau contre les attaques et les accès électroniques.
5 Selon l'art. 74 al. 1 ODim, ce devoir de diligence incombe aux établissements de santé. Selon l'art. 4 al. 1 let. k ODim, est considérée comme établissement de santé toute organisation dont le but principal est de soigner ou de traiter des patients ou de promouvoir la santé publique. Cela correspond à la définition de l'art. 2, ch. 36 de la directive européenne sur les médicaments et comprend notamment les hôpitaux (de droit privé ou public), mais aussi les établissements tels que les laboratoires et autres établissements de santé (publics) qui soutiennent certes le système de santé, mais dans lesquels les patients ne sont pas directement traités ou pris en charge. Les cabinets médicaux et autres établissements médicaux ambulatoires entrent également dans la définition d'établissement de santé, raison pour laquelle ils doivent également respecter le devoir de diligence selon l'art. 74 al. 1 ODim, dans la mesure où ils utilisent des dispositifs médicaux compatibles avec le réseau. En revanche, ne sont pas considérés comme des établissements de santé au sens de l'art. 74 al. 1 ODim les établissements qui prétendent promouvoir en premier lieu un mode de vie sain, tels que les centres de fitness, les stations thermales ou les centres de bien-être.
6 Le devoir de diligence selon l'al. 1 ne s'applique qu'aux dispositifs médicaux pouvant être mis en réseau. Par « compatible avec un réseau », on entend que le dispositif médical peut être intégré dans un réseau avec d'autres appareils, de sorte que des informations peuvent être échangées virtuellement entre les différents produits compatibles avec le réseau et que celui-ci peut être accessible depuis différents endroits. En d'autres termes, le dispositif médical n'est pas seulement intégré dans le système interne de l'établissement de santé, mais il est également accessible de l'extérieur, via un accès à distance. Le rapport explicatif de l'OFSP parle dans ce contexte de dispositifs médicaux directement et durablement reliés à l'inter- et à l'intranet. Dans de nombreux cas, un accès externe est obligatoire pour que le fabricant puisse fournir une assistance (à distance) correspondante. On assiste à une fusion croissante entre la technologie opérationnelle (donc, par exemple, les dispositifs médicaux) et la technologie de l'information (restante) au sein de l'établissement de santé. La pratique montre que dans la médecine moderne, de nombreux dispositifs médicaux peuvent être mis en réseau - une médecine sans réseau numérique devient de plus en plus impensable. Les tomographes, les appareils de radiographie mobiles, les appareils de surveillance dans les unités de soins intensifs (p. ex. systèmes de monitorage des patients), les appareils de ventilation et d'anesthésie, etc. sont des exemples de dispositifs médicaux compatibles avec la mise en réseau. Il convient également de tenir compte du fait que la notion de dispositif médical peut également englober les logiciels, dans la mesure où ceux-ci remplissent les conditions d'un dispositif médical selon l'art. 3 al. 1 ODim - cela devrait notamment s'appliquer aux logiciels de monitorage des patients. Dans cette mesure, le devoir de diligence selon l'art. 74 al. 1 ODim s'applique également aux logiciels.
7 Selon l'art. 74 al. 1 ODim, toutes les mesures techniques et organisationnelles nécessaires selon l'état de la technique doivent être prises pour assurer la protection contre les attaques et les accès électroniques. L'ODim elle-même ne contient pas de définition des mesures techniques et organisationnelles. La notion de « mesures techniques et organisationnelles » est toutefois connue dans d'autres domaines juridiques, notamment dans le droit de la protection des données. Ainsi, l'art. 8 al. 1 LPD exige que les responsables et les sous-traitants garantissent une sécurité des données adaptée au risque par des mesures techniques et organisationnelles appropriées. Dans ce contexte, les mesures techniques sont celles qui sont directement liées à un système d'information ou à des supports de données. Par contre, les mesures organisationnelles sont celles qui concernent l'environnement du système, notamment les personnes qui l'utilisent, ainsi que les processus. Le Centre national de cybersécurité NCSC a émis des recommandations sur la cybersécurité dans le secteur de la santé. Celles-ci comprennent des mesures tant techniques qu'organisationnelles et sont considérées par le NCSC (BACS depuis le 1er janvier 2024) comme des exigences minimales. Il convient toutefois de noter que ces recommandations ne couvrent pas spécifiquement les dispositifs médicaux pouvant être mis en réseau, mais qu'elles englobent de manière générale l'ensemble de la sécurité de l'information d'un établissement de santé.
8 Cette compréhension des mesures techniques et organisationnelles issue d'autres domaines juridiques peut être transposée à l'art. 74 al. 1 ODim : sont considérées comme mesures techniques toutes les mesures directement liées au dispositif médical, à l'infrastructure informatique de l'établissement de santé ainsi qu'à l'interface entre le dispositif médical et l'infrastructure informatique. Des exemples de mesures techniques sont : Cryptage, pare-feu, sauvegardes, protection par mot de passe, VPN en cas d'accès à distance, segmentation du réseau, verrouillage automatique du bureau, etc. En font également partie l'exécution de mises à jour (logicielles) de sécurité périodiques ou prescrites par le fabricant ainsi que l'entretien prescrit ou régulier du dispositif médical par le fabricant. Le BACS cite notamment comme mesures techniques (a) la surveillance en temps réel des points finaux, (b) les sauvegardes hors ligne ou la récupération après sinistre, (c) la segmentation du réseau, (d) la protection de l'authentification (par ex. par une authentification à facteurs multiples), (e) le blocage des pièces jointes dangereuses aux e-mails ainsi que (f) le contrôle de l'exécution des fichiers. Les mesures techniques selon (b), (c) et (d) sont considérées par le BACS comme obligatoires, alors que celles selon (a), (e) et (f) sont facultatives ou « peuvent » être prescrites. En revanche, sont considérées comme des mesures organisationnelles au sens de l'art. 74 al. 1 ODim les mesures qui concernent l'environnement du dispositif médical ou de l'infrastructure informatique, notamment les personnes qui utilisent le dispositif médical compatible réseau ou l'infrastructure informatique associée, ainsi que les processus qui y sont liés. Des exemples de mesures organisationnelles sont les formations, les processus, les directives, les règlements, les contrats. Parmi les mesures organisationnelles, le BACS cite notamment (a) la gestion des correctifs et du cycle de vie ainsi que (b) la surveillance en temps réel des données log du périmètre de sécurité, ces deux mesures étant considérées comme obligatoires par le BACS. L'importance des mesures organisationnelles ne doit pas être sous-estimée, car les meilleures mesures techniques (comme une forte protection par mot de passe) n'ont que peu d'utilité si les personnes qui les utilisent les annulent à nouveau (p. ex. par un post-it avec le mot de passe sur le dispositif médical compatible avec le réseau). Par conséquent, des mesures organisationnelles (telles que des règlements internes, des formations pour les collaborateurs) doivent garantir que les mesures techniques puissent déployer leurs effets. L'expérience des auteurs montre que les mesures organisationnelles suivantes sont les plus répandues dans la pratique médicale : Directives, e-learnings, formations et entraînements, blog interne sur le thème de la cybersécurité, etc. Toutefois, la tenue d'un inventaire des dispositifs médicaux en réseau utilisés ainsi que les évaluations de sécurité standardisées des nouveaux types d'appareils, effectuées avant l'acquisition, se sont également imposées dans la pratique comme faisant partie des mesures organisationnelles. Selon les auteurs, les grands hôpitaux en particulier ne pourront pas éviter, en vertu de l'art. 74 al. 1 ODim, de créer des responsabilités claires et des fonctions dédiées dotées de ressources suffisantes au sein de l'organisation, qui s'occuperont du thème de la cybersécurité, afin que les obligations légales de diligence soient prises en compte. Les petites institutions de santé doivent au moins disposer d'un support informatique externe qui inclut le thème de la cybersécurité dans son cahier des charges.
9 Les mesures techniques et organisationnelles à prendre doivent se baser sur l'état de la technique. Cette notion n'est pas non plus définie plus précisément par l'ODim. L'« état de la technique » est cependant une notion qui revêt une grande importance dans le cadre du développement de dispositifs médicaux, puisqu'il faut se baser sur l'état de la technique généralement reconnu en ce qui concerne les exigences essentielles de sécurité et de performance selon le chapitre I de l'annexe I EU-MDR. Toutefois, la directive européenne sur les dispositifs médicaux ne contient pas non plus de définition générale qui permettrait de mieux cerner cette notion. La notion d'« état de la technique » est familière dans le reste du droit suisse : selon l'art. 3 al. 2 LSPro, les produits doivent être conformes à l'état des connaissances et de la technique en matière de sécurité. Selon l'art. 5 al. 1 let. e LRFP, un producteur n'est pas responsable s'il prouve que l'état des connaissances scientifiques et techniques au moment de la mise en circulation du produit ne permettait pas de déceler le défaut du produit. On peut par conséquent déduire de la littérature et de la jurisprudence relatives à cette notion dans le reste du droit suisse que l'état de la technique doit être établi selon des critères objectifs et être reconnu comme sérieux par la communauté scientifique concernée. En tout état de cause, pour un dispositif médical donné, les instructions spécifiques du fabricant en matière de cybersécurité (ainsi que les éventuelles mises à jour de ces instructions) - si elles existent - doivent être respectées. En outre, il est recommandé de suivre les recommandations du BACS en matière de cybersécurité dans le secteur des soins de santé. Ces recommandations sont considérées par le BACS comme des « best current practices » et peuvent donc être utilisées - du moins du point de vue des autorités - pour concrétiser les devoirs de diligence de l'art. 74 al. 1 ODim, dans la mesure où elles se rapportent à des dispositifs médicaux pouvant être mis en réseau. Il faut donc partir du principe que les autorités et les tribunaux se référeront à ces recommandations de l'OFSP dans les cas individuels pour évaluer les mesures techniques et organisationnelles ou le respect du devoir de diligence, même si elles ne sont pas contraignantes pour les tribunaux. En ce qui concerne les normes internationales (d'autorégulation), la norme ISO 27001 relative aux systèmes de gestion de la sécurité de l'information s'est établie comme standard courant. Dans la pratique, de nombreux hôpitaux suivent cette norme, même s'ils ne sont pas officiellement certifiés ISO.
10 Il est recommandé d'intégrer dès le processus d'achat de l'établissement de santé ces exigences auxquelles un dispositif médical compatible réseau doit répondre, notamment d'un point de vue technique. L'établissement de santé devrait savoir dès le début de l'acquisition de dispositifs médicaux compatibles avec un réseau à quelles normes techniques et de sécurité informatique le dispositif médical à acquérir doit satisfaire, afin que la cybersécurité soit également garantie dans le cas particulier. H+, l'association des hôpitaux suisses, a publié en mai 2024, en étroite collaboration avec les responsables de la cybersécurité et de la sécurité de l'information des hôpitaux suisses, un aide-mémoire intitulé « Exigences de base en matière de protection informatique des systèmes - Sécurité de l'information et protection des données », qui définit « les exigences techniques et organisationnelles minimales de l'hôpital en matière de sécurité de l'information et de protection des données pour les systèmes », notamment pour tous les systèmes médico-techniques. Cet aide-mémoire a été édicté en tenant compte des devoirs de diligence découlant de l'art. 74 al. 1 ODim, raison pour laquelle les établissements de santé concernés par l'art. 74 al. 1 ODim devraient s'y référer comme aide, même s'il ne s'agit pas d'hôpitaux. D'une manière générale, il convient toutefois de noter que de telles lignes directrices et fiches d'information émanant d'autorités (comme la BACS) ou d'associations (comme H+) n'ont pas force de loi et ne sont donc pas juridiquement contraignantes, ni pour les tribunaux ni pour les utilisateurs.
11 L'art. 74 al. 1 ODim ne se réfère pas à un moment précis en ce qui concerne l'état de la technique - contrairement à l'art. 5 al. 1 let. e LRFP, par exemple. Par conséquent, la notion d'« état de la technique » évolue dans le temps. Si l'état de la technique change en ce qui concerne la cybersécurité et les mesures techniques et organisationnelles appropriées qui devraient être mises en œuvre pour une défense efficace contre les cyberattaques, l'établissement de santé doit adapter les mesures qu'il a prises en conséquence. Par conséquent, l'établissement de santé doit régulièrement vérifier ses mesures techniques et organisationnelles pour garantir la cybersécurité, les comparer à l'état actuel de la technique et - si nécessaire - les adapter à l'état actuel de la technique. Pour les hôpitaux au moins, cette obligation découle également de l'al. 2 de l'art. 74 ODim, car un système efficace de gestion des risques implique également un examen périodique des risques et de l'adéquation des mesures mises en œuvre pour y faire face. D'un point de vue fondamental, il convient de noter que le thème de la cybersécurité est un processus en cours et n'est donc jamais terminé.
12 Selon le libellé de l'art. 74 al. 1 ODim, l'établissement de santé doit prendre toutes les mesures nécessaires pour assurer la protection contre les attaques et les accès électroniques. Le libellé de l'art. 74, al. 1, ODim se distingue notamment de celui de l'art. 8 LPD, qui exige une « sécurité des données adaptée au risque » et établit ainsi le principe de proportionnalité dans le domaine de la sécurité des données personnelles, raison pour laquelle les coûts de mise en œuvre, par exemple, peuvent être pris en compte lors de l'évaluation du caractère adéquat. La question se pose donc de savoir si le libellé « toutes les mesures nécessaires pour assurer la protection » de l'art. 74 al. 1 ODim laisse une place au principe de proportionnalité, en particulier à l'élément d'exigibilité. A notre avis, la réponse est affirmative, car il n'existe pas de sécurité absolue contre les cyberattaques, raison pour laquelle il ne peut s'agir que d'une protection appropriée et non absolue. Toutefois, en raison des biens juridiques concernés - la santé des patients - l'obstacle à l'évaluation du caractère adéquat est plus élevé qu'en matière de protection des données. Par conséquent, en vertu de l'art. 74 al. 1 ODim, l'établissement de santé ne doit mettre en œuvre que des mesures proportionnées (c'est-à-dire appropriées, nécessaires et raisonnables), qui tiennent compte de l'importance des biens juridiques concernés.
13 Les mesures techniques et organisationnelles doivent garantir la protection contre les attaques et les accès électroniques. En d'autres termes, il s'agit de la protection contre les cyberattaques, c'est-à-dire l'attaque ciblée de l'infrastructure informatique et des dispositifs médicaux (compatibles réseau) utilisés par les établissements de santé par des personnes non autorisées. Il convient de faire une distinction entre les attaques où le dispositif médical lui-même est la véritable cible et les attaques où le dispositif médical sert de porte d'entrée pour accéder au reste de l'infrastructure informatique de l'établissement de santé. L'art. 74 al. 1 ODim couvre les deux types d'attaques et les mesures techniques et organisationnelles doivent donc également couvrir les deux types d'attaques. Les cyberattaques typiques sont les logiciels malveillants, le phishing, les exploits zero-day, les attaques DDoS ou les attaques qui affectent la disponibilité des systèmes (comme les ransomwares). Selon les auteurs, les attaques par ransomware sont en principe les plus dangereuses, car elles ont pour conséquence que la disponibilité des systèmes n'est plus garantie, ce qui, d'un point de vue opérationnel et médical, peut avoir de graves conséquences aussi bien pour l'hôpital que pour les patients.
III. Gestion des risques pour les hôpitaux (al. 2)
14 Contrairement aux obligations de l'art. 74 al. 1 ODim, qui s'appliquent à tous les établissements de santé utilisant des dispositifs médicaux pouvant être mis en réseau, les obligations de l'art. 74 al. 2 ODim ne concernent que les hôpitaux. Selon l'art. 4 al. 1 let. l ODim, sont considérés comme des hôpitaux les établissements de santé dans lesquels sont dispensés, par le biais de prestations d'assistance médicale et de soins, des traitements hospitaliers de maladies ou des mesures hospitalières de réadaptation médicale ou des mesures médicales hospitalières à des fins esthétiques. Le critère décisif de délimitation par rapport aux cabinets médicaux ou autres établissements de santé (ambulatoires) est le traitement stationnaire des patients. Conformément à l'art. 74 al. 2 ODim, ces établissements doivent identifier, évaluer et documenter les mesures techniques et organisationnelles conformément aux principes d'un système de gestion des risques. Ce système de gestion des risques doit faire partie intégrante du système de gestion de la qualité de l'hôpital.
15 La pratique montre qu'une gestion des risques globale fait également partie de la norme dans les hôpitaux. En ce qui concerne les principes d'un système de gestion des risques efficace, nous renvoyons à la littérature correspondante. L'art. 74, al. 2, ODim oblige les hôpitaux, en ce qui concerne le risque « cybersécurité », à identifier, évaluer et documenter les mesures techniques et organisationnelles prises conformément à l'al. 1 dans le cadre de la gestion des risques et de la qualité, introduisant ainsi - du moins en ce qui concerne la cybersécurité - une obligation légale pour les hôpitaux de gérer les risques. Dans la pratique, l'importance de cette disposition devrait toutefois être faible, car la gestion des risques jouait déjà un rôle décisif pour les hôpitaux avant l'entrée en vigueur de l'art. 74 al. 2 ODim et couvrait également le thème de la cybersécurité - en tant que risque important.
IV. Conséquences juridiques en cas de violation du devoir de diligence
A. Conséquences en droit civil
16 En cas de non-respect des obligations de diligence prévues par l'art. 74 ODim, la question des conséquences juridiques se pose. On pense en particulier aux situations dans lesquelles une cyberattaque entraîne une défaillance des dispositifs médicaux de maintien en vie et provoque la mort ou des dommages graves aux patients. En outre, de nombreux autres cas de figure sont également envisageables, comme le report d'opérations vitales ou le dysfonctionnement d'appareils médicaux. Il convient ici de distinguer fondamentalement s'il s'agit d'un établissement de santé privé ou public. Cette qualification détermine le droit applicable en matière de responsabilité. Cette distinction ne sera pas abordée plus en détail dans le présent document, qui renvoie à la littérature et à la jurisprudence en la matière.
17 S'il existe un rapport contractuel (de droit privé) entre l'hôpital et le patient, la responsabilité éventuelle de l'hôpital est régie par l'art. 97 al. 1 CO : si l'obligation ne peut pas être exécutée ou ne peut l'être que partiellement, le débiteur doit réparer le dommage qui en résulte, à moins qu'il ne prouve qu'aucune faute ne lui est imputable. Les conditions de responsabilité de l'art. 97 al. 1 CO sont donc (a) la violation d'une obligation contractuelle, (b) un dommage qui en résulte, (c) un lien de causalité adéquate entre la violation du contrat et le dommage subi, et (d) une faute (celle-ci étant présumée dans le cadre de l'art. 97 al. 1 CO). Dans le cadre de la violation d'une obligation contractuelle, c'est en particulier l'exécution imparfaite ou la mauvaise exécution - c'est-à-dire la violation positive du contrat - qui nous intéresse ici. Le débiteur fournit certes une prestation, mais celle-ci n'est pas d'une qualité conforme au contrat ou ne correspond pas à la diligence requise par le contrat. Une distinction fondamentale est faite entre les obligations principales et les obligations secondaires. Les obligations accessoires comprennent entre autres les obligations de comportement qui ont pour but de compléter la prestation principale et d'en assurer la bonne exécution ou d'atteindre le but du contrat, notamment les obligations de protection, de garde, de conseil, d'abstention, d'information et d'explication. Les obligations de diligence qui découlent de l'art. 74 ODim en matière de cybersécurité peuvent être qualifiées d'obligations contractuelles accessoires sur la base de ce qui précède, car il s'agit d'obligations de comportement qui doivent garantir la bonne exécution de la prestation principale. Il s'agit donc d'un devoir de protection de l'hôpital vis-à-vis du patient.
18 Concrètement, quand y a-t-il violation du devoir de diligence découlant de l'art. 74 al. 1 ODim ? Comme expliqué précédemment, il s'agit de la protection adéquate contre les attaques et les accès électroniques. Cette protection adéquate doit être déterminée au cas par cas sur la base d'un critère objectif. Les notices et directives - comme celles de l'OFPC ou de H+ - peuvent servir d'aide pour concrétiser ce critère objectif, mais le non-respect des recommandations contenues dans ces directives ou notices ne peut pas automatiquement justifier une violation du devoir de diligence. Dans la pratique, il est toutefois recommandé aux entreprises concernées de s'orienter vers de telles lignes directrices et fiches techniques de groupes d'experts et de concevoir leurs mesures de sécurité sur la base de ces recommandations.
19 Une violation du devoir de diligence de l'art. 74 al. 1 ODim peut donc - pour autant que les autres conditions de responsabilité de l'art. 97 CO soient remplies - entraîner une responsabilité de l'établissement de santé vis-à-vis des patients concernés, les conditions de responsabilité devant être prouvées par le patient concerné (art. 8 CC). Dans la pratique, il ne devrait notamment pas être facile de prouver la violation du devoir de diligence en raison d'un manque d'accès à l'infrastructure informatique de l'établissement de santé. Le fait qu'une attaque ou un accès ait eu lieu ne suffit pas à lui seul pour prouver la violation du devoir de diligence. Il faut plutôt démontrer que l'établissement de santé n'a pas pris toutes les mesures techniques et organisationnelles (raisonnables) pour empêcher de telles attaques ou de tels accès. Dans cette mesure, il faut exiger de l'établissement de santé concerné qu'il remette la documentation nécessaire sur la sécurité informatique dans le cadre de son obligation procédurale de coopérer selon l'art. 160 al. 1 CPC. Si l'établissement de santé refuse sans raison de coopérer et de remettre la documentation relative à la sécurité informatique, le tribunal doit en tenir compte dans l'appréciation des preuves (art. 164 CPC).
B. Conséquences administratives
20 Outre les conséquences de droit civil, il faut également tenir compte des conséquences de droit administratif d'une violation de l'art. 74 ODim. En tant qu'autorité d'exécution, Swissmedic est responsable de la surveillance du marché et de l'exécution de la réglementation des dispositifs médicaux (art. 66 al. 1 LPTh). Le contrôle dans le cadre de la surveillance du marché comprend entre autres le respect des obligations des acteurs économiques (art. 75 al. 1 ODim), et par conséquent également la mise en œuvre des obligations découlant de l'art. 74 ODim. A l'occasion de l'inspection hospitalière 2023 de Swissmedic concernant les dispositifs médicaux, il s'est avéré que le thème de la cybersécurité était concerné par des écarts dans 43% des inspections. Les hôpitaux ont notamment montré des lacunes dans le domaine des processus et des interfaces y afférents ainsi que dans la gestion des risques. L'éventail des mesures administratives disponibles pour remédier à de tels manquements n'est en principe pas limité, puisque l'art. 66 al. 1 LPTh prévoit que toutes les mesures administratives nécessaires à l'exécution de la LPTh peuvent être prises. L'art. 66 al. 2 LPTh contient de manière non exhaustive certaines mesures qui peuvent être ordonnées par Swissmedic. Dans tous les cas, les mesures ordonnées doivent respecter le principe de proportionnalité.
Bibliographie
Baeriswyl Bruno, Kommentierung zu Art. 8, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum Datenschutzgesetz, 2. Aufl., Bern 2023.
Bielefeld Jörg, Kressin Bernhard, Zawilla Peter, Wirksame Organisations-, Risiko- und Compliance-Kultur zur Haftungsvermeidung, CB 2020, S. 205 ff.
Bühr Daniel Lucien, Good Governance von Aufsicht und Kontrolle im Unternehmen, SJZ 118 (2022), S. 7 ff.
Dinkel Erik, Cyber-Sicherheit in Spitälern, LSR 2/2023, S. 59 ff.
Fellmann Walter, Kommentierung zu Art. 5 PrHG, in Widmer Lüchinger Corinne/Oser David (Hrsg.), Basler Kommentar, Obligationenrecht I, 7. Aufl., Basel 2020.
Fuchs Philippe, Software als Medizinprodukt LSR 3 (2018), S. 183 ff.
Lienhard Andreas, Beweislast und Beweislastumkehr, ZZZ 53 (2021), S. 389 ff.
Long William/Blythe Francesca/Sommer Josefine, Cybersecurity and Medical Devices, LSR 1 (2021), S. 58 ff.
Pfaff, Dieter/Thomet, Ursula, Risikomanagement des Universitätsspitals Zürich, Expert Focus 12 (2017), S. 953 ff.
Sidiropoulos Alexia, Haftung für Gerätefehler bei der medizinischen Diagnostik und Behandlung, Sicherheit & Recht 1 (2020), S. 49 ff.
Stamm-Pfister Christa, Kommentierung zu Art. 8, in: Vasella David/Blechta Gabor P. (Hrsg.), Basler Kommentar, Datenschutzgesetz Öffentlichkeitsgesetz, 4. Aufl., Basel 2024.
Wiegand Wolfgang, Kommentierung von Art. 97, in: Widmer Lüchinger Corinne/Oser David (Hrsg.), Basler Kommentar, Obligationenrecht I, 7. Aufl., Basel 2020.
Matériaux
Bundesamt für Gesundheit, Erläuternder Bericht zur Totalrevision der Medizinprodukteverordnung und Verordnung über klinische Versuche mit Medizinprodukten, Juli 2020 («BAG, Erläuternder Bericht»).