- Texte visé : Texte de la commission sur le projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, d’orientation et de programmation du ministère de l’intérieur (n°343)., n° 436-A0
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
- Code concerné : Code pénal
Après l’article 323‑4‑1 du code pénal, il est inséré un article 323‑4‑2 ainsi rédigé :
« Art. 323‑4‑2. – Lorsque les infractions prévues aux articles 323‑1 à 323‑3‑1 ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’un des établissements visés aux articles L. 6111‑1, L. 6212‑1 et L. 5125‑1 du code de santé publique, la peine est portée à dix ans d’emprisonnement et à 300 000 € d’amende. »
Le présent amendement vise à aggraver les sanctions encourues en cas de cyberattaque dirigée vers les établissements de santé publics ou privés, les laboratoires de biologie médicale et les pharmacies d'officines.
Les nouvelles menaces auxquelles sont confrontées les établissements de santé et en particulier les hôpitaux sont intolérables. Les données de santé ont une grande valeur sur le marché de la donnée, ce qui conduit malheureusement à faire des hôpitaux et autres gestionnaires de ce type de données, des cibles de choix. Or, s'il convient d'accompagner ces établissements dans la sécurisation de leurs systèmes, il est également nécessaire de renforcer la dissuasion lorsque la vie des malades peut être directement impactée.
L'exemple récent de la cyber-attaque dont l'hôpital de Corbeil-Essonnes a été victime, alors que la crise sanitaire perdure, en est une preuve flagrante : pendant deux mois, le système informatique a été paralysé. Il a fallu, dans ces 110 000 mètres carrés de salles, de chambres et de couloirs, se passer d’outils, de logiciels et de dossiers numériques, et revenir à l’« époque d’avant », comme dit le personnel. Celle du stylo et du papier. Les temps de prise en charge au sein des urgences pédiatriques ont été rallongés et une régulation des patients a du être mise en place. C'est absolument intolérable.
Si s'attaquer à un système d'information de l'Etat constitue déjà une circonstance aggravante prévue par notre code pénal, il nous semble plus que nécessaire que le cas particulier des établissements gérant des données de santé soit inséré, il en va de la sécurité et de la santé de nos concitoyens.