Par Letícia Piasecki Martins
La transformation numérique du secteur de la santé, notamment dans le contexte des cliniques médicales, a accru l’efficacité des soins, l’interopérabilité entre les systèmes et la réactivité des établissements. Cependant, cette évolution s’accompagne d’un défi tout aussi pertinent : la nécessité de protéger les informations sensibles.
De par leur nature, les données de santé sont classées par la Loi Générale sur la Protection des Données (LGPD) comme « sensibles », nécessitant un traitement plus rigoureux, des mesures de sécurité renforcées et des processus organisationnels spécifiques. Dans un environnement de plus en plus numérisé, les cliniques médicales deviennent des cibles privilégiées pour les attaques et les incidents, ce qui nécessite une structure technique, une maturité institutionnelle et une culture cohérente de la sécurité de l'information.
L’informatisation croissante des dossiers médicaux, de la télémédecine, des prescriptions numériques et des plateformes intégrées a considérablement accru les risques de fraude, d’intrusions et d’accès inappropriés. Aujourd'hui, les cliniques et les opérateurs sont confrontés à des tentatives de capture de données, de falsification d'identité médicale, de demandes de remboursement inappropriées, de recours à l'ingénierie sociale pour obtenir des mots de passe, de manipulation des informations d'identification des patients et de diffusion de liens frauduleux simulant des communications légitimes.
Il s’agit d’un phénomène mondial, résultant de la grande valeur économique que revêtent les informations de santé sur les marchés illicites, ainsi que de la fragilité émotionnelle et privée que représentent ces données. La réglementation sectorielle suit cette préoccupation : la résolution administrative de l'ANS n° 81/23 établit des lignes directrices obligatoires en matière de sécurité de l'information, imposant des contrôles d'accès, des conditions de responsabilité et de confidentialité, y compris pour les tiers qui sont en contact avec les données réglementées par l'Agence. Le scénario démontre que le sujet n’est plus un accessoire et commence à occuper une place centrale dans la gouvernance des institutions de santé.
Dans ce contexte, la protection des données dans les cliniques médicales exige bien plus que des investissements dans la technologie. Cela nécessite la construction de protocoles de gouvernance stricts qui impliquent des politiques internes claires, une définition des responsabilités, une gestion des risques, des processus de consentement bien structurés, un contrôle d'accès et une surveillance continue. Il est essentiel que chaque institution comprenne que la sécurité de l'information ne se limite pas à des systèmes robustes, mais dépend de personnes formées, de flux internes adéquats, de contrats bien rédigés et supervisés, ainsi que de processus d'audit permanents. L’intégration entre les domaines – juridique, conformité, informatique, depuis le premier contact avec le patient par les réceptionnistes et secrétaires jusqu’à la gestion clinique – devient une exigence pour garantir la conformité et renforcer la confiance des utilisateurs.
La LGPD, en réglementant le traitement des données personnelles sensibles, a transformé la vie privée en un élément de gouvernance obligatoire. La loi impose au sous-traitant le devoir de démontrer la conformité et d'adopter des mesures proportionnées au risque de l'activité, notamment à travers des rapports d'impact, la désignation d'un responsable, des politiques formelles, la revue des contrats avec les fournisseurs et la mise en œuvre de contrôles préventifs dès la conception des processus.
Loin de restreindre l'innovation, la LGPD assure la prévisibilité, encourage des pratiques sûres, renforce la relation médecin-patient et encourage les investissements dans des solutions technologiques fiables. Pour les cliniques médicales, la conformité n'est plus une simple exigence réglementaire et fait désormais partie de la dynamique de la prestation de services elle-même, influençant la réputation, la durabilité et la performance opérationnelle.
Il existe cependant un aspect souvent négligé : la coresponsabilité du patient en matière de sécurité numérique. De nombreux incidents résultent de comportements non sécurisés de la part des titulaires de cartes, tels que le partage de codes d'authentification, l'envoi de documents médicaux par des canaux informels, le clic sur des liens suspects, l'installation d'applications non officielles ou la fourniture d'informations d'identification à des personnes malveillantes se faisant passer pour des agents ou des représentants d'un régime de santé. Ces comportements, compte tenu de l'applicabilité du CDC, peuvent constituer la faute exclusive du consommateur, rompant le lien de causalité en cas d'incident et dégageant la responsabilité de la clinique ou de l'opérateur.
C’est pourquoi, en plus des mesures internes, les institutions doivent investir dans la communication préventive et l’éducation numérique continue, en adoptant des modèles de sécurité basés sur l’expérience utilisateur, avec des messages éducatifs, des alertes d’accès, une authentification multifactorielle et des systèmes qui guident automatiquement le patient vers des pratiques plus sûres, car nous sommes confrontés à une responsabilité objective, c’est-à-dire indépendamment de la faute.
La sensibilisation des utilisateurs est l’un des piliers de la réduction de la fraude. Les patients doivent être invités à reconnaître les signes avant-coureurs, tels que les frais liés à des procédures non effectuées, les modifications non sollicitées des données d'enregistrement, les liens envoyés par des sources douteuses, les demandes de mots de passe ou de codes de vérification via WhatsApp et les notifications d'accès inconnu à leurs comptes.
Les technologies telles que l’intelligence artificielle, l’interopérabilité nationale, les mégadonnées de santé, les dossiers médicaux intégrés et la télémédecine avancée ont tendance à augmenter de façon exponentielle le volume et la sensibilité des informations traitées par les cliniques médicales. Ce scénario élargit les opportunités d'assistance, améliore les diagnostics, permet une médecine personnalisée et réduit les coûts opérationnels. Cependant, cela augmente également les risques de cyberattaques, de biais algorithmiques et de sophistication accrue de la fraude.
Bref, pour les cliniques médicales, protéger les données n’est pas seulement une obligation légale : il s’agit de préserver la confiance qui sous-tend la relation médecin-patient et d’assurer la continuité des soins dans un environnement numérique qui allie opportunités d’innovation et risques de plus en plus complexes en matière de vie privée.
*Letícia Piasecki Martins est associée du cabinet Meira Breseghello Advogados et membre de la Commission du droit médical et de la santé de l'OAB São Paulo.
