Mme Virginie Duby-Muller interroge Mme la ministre de la santé et de l'accès aux soins sur le renforcement de la protection des données des patients. Ces derniers mois, la France a été prise pour cible par des actes malveillants de cyberattaques visant deux opérateurs de tiers payant, ce qui représente environ 33 millions de Français visés par ce vol massif de leurs données personnelles. Cela fait peser des risques importants sur les compatriotes, pour qui il y a une menace accrue d'usurpation d'identité et de phishing notamment. La protection des données personnelles de santé doit être une priorité pour la Nation. La filière des opticiens travaille sur la mise en place d'une solution de type blockchain qui permettrait d'éviter aux Français de voir leurs données personnelles être soumises à des trafics sur le darknet. Des échanges ont lieu depuis quatre ans entre le ministère de la santé, la Caisse nationale d'assurance maladie (Cnam), la Commission nationale de l'informatique et des libertés (CNIL), les assureurs et les opticiens. Cependant, depuis un an, il semble que les échanges soient interrompus. Par conséquent, elle souhaite savoir quelles mesures le Gouvernement met en place pour protéger les données personnelles et de santé des Français et que lui soit précisé pourquoi ces négociations sont à l'arrêt concernant ce projet sécurisé fondé sur la technologie de la blockchain.

La stratégie nationale en matière de cybersécurité pour les établissements de santé repose à l'heure actuelle largement sur le plan CaRE (https://esante.gouv.fr/strategie-nationale/cybersecurite).  Ce programme a été mis en place pour aider les établissements de santé à faire face à la menace cyber, tant sur le plan de la prévention des attaques, que sur leur réaction et leur résilience en cas d'incident.  Les besoins totaux du programme sont estimés à 750 M€ d'ici 2027.  Plusieurs actions importantes consistent à financer le rattrapage du retard dans certains domaines spécifiques et identifiés, sous la forme d'appels à financement répartis sur la période du programme. Un des domaines de ce programme est justement relatif au renforcement de la sécurité de l'identification électronique des professionnels de santé, à l'origine des attaques de deux opérateurs de tiers-payant, par usurpation d'identité de professionnels.  Le programme prévoit également un dispositif permettant aux établissements de maintenir de manière générale l'effort consacré à la cybersécurité, se mettant en place à partir de 2025. Ce dispositif est prévu dans le contexte du programme, et donc jusqu'à fin 2027.  Les financements du programme s'inscrivent dans le contexte de l'objectif national de dépenses d'assurance maladie. La feuille de route du numérique en santé 2023-2027 prévoit l'élaboration et la mise en œuvre d'un forfait numérique pérenne dans la tarification de l'activité des établissements, enjeu par ailleurs rappelé dans le récent rapport de la Cour des comptes sur la cybersécurité dans les établissements de santé qui évoque plusieurs pistes pour limiter l'impact de ce fonctionnement sur la pérennité du programme, pistes qui sont en cours d'instruction. Par ailleurs, la question de la souveraineté et de la sécurité des données de santé à caractère personnel est au cœur de l'action de la délégation au numérique en santé (DNS) et du ministère chargé de la santé. Le déploiement de Mon espace santé permet notamment aux usagers de disposer d'un carnet de santé numérique répondant à des exigences élevées de sécurité, d'interopérabilité et d'éthique, qui s'appliquent également aux services publics et privés référencés dans son catalogue de services.  Par ailleurs, de nombreux services numériques dédiés aux professionnels intervenant dans le système de santé font l'objet d'un référencement sur la base de critères importants de sécurité dans le cadre du programme Ségur numérique (https://esante.gouv.fr/segur) : 167 logiciels de professionnels ont déjà été référencés dans le cadre de ce programme.  Le référentiel d'identification électronique de la Politique générale de sécurité des systèmes d'information de santé (PGSSI-S) a été publié par arrêté du 28 mars 2022. Ce référentiel impose un renforcement progressif des moyens d'identification électronique pour l'accès aux services numériques en santé.  Afin d'accélérer cette transition et de faciliter l'usage de moyens d'authentification renforcée par les professionnels, l'agence du numérique en santé met en œuvre le fournisseur d'identité sectoriel Pro Santé Connect (https://esante.gouv.fr/produits-services/pro-sante-connect), qui véhicule une identité numérique sécurisée des professionnels de santé, à hauteur des standards européens comme le règlement eIDAS. Pro Santé Connect permet aux professionnels intervenant dans le système de santé de s'authentifier aux services numériques qui leur sont destinés avec leur carte CPS ou sa version dématérialisée : la carte e-CPS. Pro Santé Connect est déjà utilisée aujourd'hui par plus de 400 000 professionnels et permet d'accéder de manière sécurisée à plus de 500 services numériques.  Concernant les deux opérateurs de tiers-payant visés par des attaques, ils ont été contactés afin de leur rappeler les exigences du référentiel d'identification électronique de la PGSSI-S. Ils ont confirmé l'implémentation de Pro Santé Connect à très court terme, comme moyen de sécuriser mais aussi de simplifier la connexion sécurisée des professionnels de santé à leurs services. Des contacts ont été pris plus largement pour présenter ce référentiel et le fournisseur d'identité Pro Santé Connect auprès des principaux organismes et opérateurs de plateformes de tiers-payant.  Des actions de communication auprès des acteurs du numérique en santé sont régulièrement menées sur la nécessité de renforcer le niveau de sécurité de l'identification électronique, par exemple avec Pro Santé Connect, ainsi qu'auprès du grand public, par exemple avec le lancement de France identité numérique et le déploiement de France Connect +. Plus largement, des actions sont également menées pour sensibiliser les usagers à l'intérêt de sécuriser l'accès à leurs données de santé, en préférant par exemple l'utilisation de Mon espace santé aux alternatives offertes par des acteurs privés qui ne seraient pas conformes aux référentiels de sécurité, d'interopérabilité et d'éthique publiés par la puissance publique, notamment par l'agence du numérique en santé.  Enfin, la feuille de route du numérique en santé présente les objectifs ambitieux de la puissance publique dans le domaine de la sécurité et de l'identification électronique, par exemple dans sa priorité 8, déployer le bouquet de services aux professionnels, l'ordonnance numérique et des moyens d'identification électronique sécurisés pour les professionnels de santé, avec des objectifs concrets :  - objectif 8.3 : d'ici 2027, Pro Santé Connect est qualifié substantiel eIDAS et compte 1 million d'utilisateurs chaque jour ; - objectif 8.5 : en 2027, les professionnels des établissements sanitaires et médico-sociaux disposent de moyens d'authentification à 2 facteurs pour se connecter aux applications sensibles. De nombreuses actions sont menées quotidiennement auprès de l'ensemble des acteurs intervenant dans l'écosystème de la santé numérique (professionnels, établissements, fournisseurs de services numériques) par les acteurs nationaux et régionaux de la puissance publique, dans le cadre de la stratégie portée par la DNS, en étroite relation avec ses homologues des autres pays de l'Union Européenne.  Les acteurs de la filière des opticiens, notamment les responsables en charge du projet de blockchain visant à renforcer la sécurisation des accès aux données de santé sont invités à contacter la DNS afin de présenter ce projet et de s'assurer notamment de sa conformité au référentiel d'identification électronique de la PGSSI-S et de sa complémentarité avec les moyens d'identification électronique offerts par la puissance publique tels que Pro Santé Connect.