Retour au blog
Cybersécurité Analyse de risque Gestion de crise Retour d’expérience
Publié le 23 février 2022 Modifié le 14 juin 2023
Temps de lecture : 7 minutes

L’écosystème de la santé face à la pandémie : l’exemple américain

En matière de santé, les USA ont axé leur politique de santé publique sur une vision très « terrain », associée à un devoir de transparence, faisant le choix de partager publiquement les informations captées au niveau des instances régulatrices. D’une part, les aspects réglementaires publiés au niveau du congrès (USC) ou au niveau des instances fédérales subséquentes (CFR) sont consultables directement sur Internet. D’autre part, les bases de signalement de matériovigilance (« MAUDE » [1]) et de défaut de protection des données (« Breach portal »[2]) sont accessibles librement. Ainsi, richement dotés des informations ainsi mises à disposition, nous proposons d’étudier dans le présent article les conséquences d’une situation de pandémie qui impacterait brutalement et à grande échelle tous les acteurs du secteur de la santé, et d’observer de manière factuelle les points d’attention identifiés et réponses qui ont été mises en place aux USA.

Analyse qualitative des signalements de matériovigilance

Sur le plan qualitatif, l’analyse de la base de signalements de matériovigilance nous a conduits à observer les tendances suivantes :
Du côté des fabricants, les remontées ont présenté les tendances suivantes:

  • Incapacité de répondre à des demandes d’expertise
  • Dégradation de la qualité de production
  • Plusieurs arnaques aux masques filtrants non conformes
  • Ruptures de stock d’équipements standard remplacés par des équipements non homologués
  • Ruptures de pièces de rechange pour traiter des rappels de lots de produits
  • Retards dans l’analyse des signalements de matériovigilance

Ces éléments indiquent que la résilience face à une situation d’ampleur telle qu’une pandémie est bien insuffisante, comme on pouvait le redouter. En fait, le niveau de Qualité demandé aux fabricants n’a jamais ciblé ce type de situation, il aurait été étonnant qu’il en fût autrement.

S’agissant des établissements, les remontées ont présenté les tendances suivantes :

  • Problèmes techniques au redémarrage de dispositifs médicaux remisés sur de longues durées du fait de la pandémie (ex: lits médicalisés)
  • Reports de consultations
  • Déprogrammations d’interventions non urgentes
  • Retards de prescription de certains traitements contrindiqués à cause de faux positifs de tests COVID
  • Absence de personnels biomed lors de l’instruction de certains dossiers de matériovigilance
  • Suspicion d’effets indésirables entre des médicaments et le vaccin COVID

Là aussi, ces éléments indiquent que la résilience face à une situation d’ampleur telle qu’une pandémie est insuffisante. Comme pour les fabricants, le niveau de Qualité demandé aux établissements de soin ne permettait pas faire face.

Concernant les labos, les tendances suivantes ont été remontées :

  • Faux positifs sur des tests COVID en raison de « bourrages » de dispositifs de tests
  • Contamination au COVID de personnes indûment mises en quarantaine à cause de faux positifs lors de tests COVID
  • Retour fabricants de dispositifs in vitro non effectués malgré des défauts de fonctionnement

Comme pour les autres acteurs de terrain, la mise à contribution des labos au-delà de leur capacité de production a également généré une baisse de la qualité.

Analyse quantitative des signalements de défauts de protection des données

L’analyse de la base de signalements de défauts de protection des données, qui cherche à recenser les évènements indicateurs d’atteinte à la confidentialité des données de santé et/ou personnelles (« Privacy »), nous a permis d’observer les tendances suivantes (cf graphique ci-dessous) :

  • Une situation de type pandémie ne produit pas effets spécifiques notables
  • Les signalements en lien avec la pandémie sont, en proportion, infimes
tableau-cyber2

Sur le plan quantitatif, nous pouvons considérer que la pandémie n’a pas révélé d’augmentation des signalements qui lui seraient directement imputables. La croissance du commerce de données personnelles et/ou santé acquises illégalement n’aura pas été aggravé par la pandémie. C’est naturellement une bonne nouvelle.

Analyse qualitative des signalements de défauts de protection des données

Au-delà des atteintes à la protection des données, les données disponibles nous renseignent sur certaines pratiques en usage en matière de cybercriminalité :

  • Les tentatives de vol d’identité numérique (« phishing ») sont en baisse
  • Les tentatives d’extorsion (« ransomware ») sont en hausse
  • Pour 2021, les signalements concernant des évènements de phishing et de ransomware sont fortement en baisse

Nous retenons que la forte baisse des signalements sur l’année 2021 crée une marge d’erreur importante sur les tendances de fond car elle ne permet pas de confirmer les observations sur 2019 et 2020.
Synthèse des observations

Globalement, les informations de signalement mis à disposition permettent de qualifier une situation de perturbation majeure – la pandémie étant un cas d’école grandeur nature – comme suit :

  • Sur le plan de la dangerosité (matériovigilance), une augmentation des incidents est observable, mais sans augmentation notable du nombre d’accidents, ce dont nous ne pouvons que nous réjouir
  • Sur le plan de la confidentialité (protection des données), les signalements ne permettent pas d’établir un lien de causalité entre une augmentation des occurrences et la situation de pandémie
  • Sur le plan de la sécurité (dommages immatériels), la tendance d’une cybercriminalité attirée par des exactions sous forme d’extorsion (« ransomware ») se confirme, les autres formes de cybercriminalité demeurant marginales.
  • Sur un plan général, il semble que l’ensemble des signalements constituent une base bien inférieure à la réalité des évènements qui sont produits depuis 2019.

La réponse des autorités de régulation

Concernant l’autorité en charge de la matériovigilance, le principe réglementaire applicable aux USA concernant les dispositifs médicaux prévoyait initialement de nombreuses activités permettant l’homologation des systèmes (« premarket approval »). Il a ensuite été renforcé par une obligation de surveillance après mise sur le marché sous la forme de publications et signalement d’évènements adverses (« postmarket surveillance »).
Consciente de la difficulté de se conformer à l’obligation de surveillance dans des circonstances extraordinaires, l’autorité régulatrice (FDA), a publié un guide dont le titre pourrait être traduit par « Signalement d’évènements adverses dans le cadre de la surveillance obligatoire en situation de pandémie » (Postmarketing Adverse Event Reporting for Medical Products and Dietary Supplements During a Pandemic [3]).

Dans ce document, nous observons la doctrine de l’autorité régulatrice, toujours dans une approche pragmatique et opérationnelle :

  • Elle rappelle l’obligation de signalement et invite les acteurs à la maintenir autant que possible (« to the maximum extent possible »)
  • Elle caractérise la pandémie comme étant la cause d’un absentéisme important des salariés, et invite les entreprises à adapter leur process de signalement pour tenir compte de l’absentéisme évoqué
  • Elle confirme que les recommandations qu’elle formule n’ont pas valeur d’obligation légale et ne sont pas opposables en justice
  • Toutefois, elle demande aux acteurs de continuer à tracer les signalements en interne, et permet de ne pas signaler dans les délais normaux aux autorités
  • Elle positionne un délai maximum de 6 mois après retour en condition normale pour avoir rattrapé le retard des signalements qui auront été accumulés au sein de chaque entreprise
  • Elle définit le retour en condition normale par le retour en condition pré-pandémie du process de signalement propre à chaque entreprise

Concernant l’autorité en charge de la protection des données, nous n’avons pas trouvé d’allègement réglementaire particulier, il est possible qu’une tolérance tacite se soit installée dans l’intérêt général. Ainsi, le délai maximum défini est « dans un délai raisonnable » (« without unreasonable delay ») et « au plus tard 60j après toute suspicion de défaut de protection » (« in no case later than 60 days after discovering the breach ») [4].

L’exemple des USA nous permet de constater que la stratégie de transparence consistant à rendre publiques des données de santé publique reste plus rassurant, globalement, que l’absence de communication factuelle sur ces sujets. En effet, l’absence d’éléments factuels et indiscutables (sur le plan de l’authenticité) coupe court aux spéculations couplées à des intérêts économiques et aux discours alarmistes, voire complotistes, entretenus par certains courants politiques.

Par ailleurs, cela permet également de mieux cerner les préoccupations de l’autorité publique d’une grande nation confrontée aux mêmes problématiques que la nôtre, et de comprendre les ajustements réglementaires qui en découlent. Ainsi, toutes choses étant également comparables par ailleurs, l’ensemble des pays européens pourraient également, en connaissance de cause, s’inspirer de ce qui se fait ailleurs afin d’affiner leurs stratégies nationales pour une meilleure préservation de l’intérêt général. Dont acte.

Sur le même sujet

Toutes les publications