Voilà quelques mois que l’on parle de ces questions de sécurité de données médicales. Le marché est florissant et visiblement, tous les acteurs ne mettent pas le même entrain à le chiffrer.
En février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales [1]. Il suffisait de taper le nom d’un médecin suivi de la mention « hôpital foch » pour accéder au serveur de l’hosto et se taper la totalité des dossiers de ses patients.
La faille a été réparée depuis mais il a quand même été possible d’accéder en quelques clics aux dossiers médicaux pendant plusieurs mois. La non sécurisation en amont des données ajoutée au fait qu’il ait fallu attendre que l’article sorte pour que l’administration hospitalière daigne prendre les choses en main, est ici problématique.
De fait, l’hôpital est hors la loi puisque l’article 34 de la loi du 6 janvier 1978 impose une obligation de sécurité au responsable d’un traitement de données. Par ailleurs, l’article 226-17 du Code pénal sanctionne le responsable du traitement de données sensibles et personnelles s’il ne prend pas les précautions d’usage en matière de préservation de celles-ci.
Mieux ! Actusoins révélait aussi que les listings étaient accessibles et que l’on pouvait ainsi connaitre jusqu’au numéro de chambre des patients et le service dans lequel ils étaient soignés... De quoi déduire, pour certains d’entre eux, que la personne hospitalisée est atteinte d’une grave maladie. Les conséquences sont désastreuses puisque, si fuite de données médicales il y a, les assurances peuvent s’en servir pour refuser de prendre en charge tel ou tel patient, pour augmenter leurs tarifs suivant les problèmes médicaux des personnes...
L’enquête pointe aussi du doigt plus généralement la volonté de certaines administrations hospitalières de refuser de faire appel à des sociétés agréées par l’Etat, qui garantissent la protection de ces données médicales. Elles préféreraient auto-héberger leurs données dans des conditions de sécurité déplorables plutôt que de dépenser le budget nécessaire.
[1]Des données médicales confidentielles accessibles sur le web