Des comptes-rendus médicaux, des fiches d’admission, des résultats d’analyse aux yeux de tous
C’est une enquête édifiante du site d’information dédié aux infirmières, Actu Soins, qui en apporte aujourd’hui la preuve. Tout commence par une banale requête d’un journaliste cherchant des informations sur un praticien sur Google. Le résultat est stupéfiant : en première position le lien cité par le moteur de recherche conduit vers le serveur de l’hôpital où exerce le médecin ; serveur qui offre un accès direct vers un bilan oncologique prescrit par ce dernier ! Faille unique ? Que nenni. Frappés par cette première découverte, les rédacteurs d’Actu Soins vont poursuivre leurs recherches et constater à de nombreuses occasions la possibilité de découvrir sans difficultés techniques des données médicales confidentielles. Les journalistes l’assurent, ils ont obtenu ces informations «à partir d’un moteur de recherche, et d’un navigateur standard, sans l’aide d’aucun outil ou logiciel spécialisé ». Les renseignements ainsi glanés étaient de toute sorte : prescriptions, résultats d’examens, fiches d’admission, fichiers des noms des pensionnaires d’un établissement pour handicapés ou encore lettres de motivation de soignants postulant ! Certains des hôpitaux épinglés, effarés des constatations de l’équipe d’Actu Soins ont rapidement corrigé les dysfonctionnements en cause.Amateurisme et méconnaissance
Ces derniers ne relèvent cependant pas d’une complexité technique extrême. Il semble le plus souvent que les serveurs des établissements de santé soient mal configurés et mal protégés et ne prévoient pas la désindexation systématique des documents. Ces défauts facilement identifiables par un « spécialiste » de l’informatique seraient méconnus de certains responsables hospitaliers et plus encore des personnels. Aussi pour éviter ce type de défaillance, il est prévu que « les donnés médicales hébergées à l’extérieur de l’établissement doivent obligatoirement l’être auprès d’un hébergeur agréé » explique à Actu Soins, Florian Le Goff, responsable sécurité des systèmes d’information d’une société spécialisée dans l’audit et l’édition de logiciel de santé. Cependant, ce « monopole » est à l’origine de tarifs souvent élevés, difficiles à assumer pour des petits établissements. « Alors ils développent dans leur coin des logiciels pour faciliter leur travail au quotidien, sans les outils et la formation nécessaire ». Par ailleurs, lorsque les dispositifs sont correctement installés, des défauts de « maintenance » peuvent également survenir. « Nous ne faisons pas d’hébergement, notre métier c’est l’installation chez le client. Les clients nous demandent des bases de démonstration pour l’accompagnement à la conduite du changement. Nous ne sommes pas derrière pour savoir s’ils mettent des informations fictives ou non » se défend ainsi l’éditeur d’un logiciel, dont un des utilisateurs, un établissement pour personnes handicapées, a vu sa liste de pensionnaires défiler sur la toile !La CNIL veille (enfin presque !)
Ces différentes failles révélées par Actu Soins sont d’autant plus inquiétantes qu’elles sont loin d’être les premières. Le site Rue 89 qui le premier a repris les informations du portail infirmier avait déjà rapporté l’année dernière comment un patient s’était aperçu que les résultats d’analyses médicales d’une soixantaine de laboratoires médicaux étaient très facilement accessibles sur internet ! Bien sûr, ce type de dysfonctionnements est répréhensible. Juriste et consultant pour la Commission nationale informatique et libertés (CNIL), Nicolas Samarcq interrogé par Actu Soins précise : « Les responsables de traitement de données sont soumis à l’obligation de la loi informatique et Libertés. Dès lors ils doivent prendre les mesures techniques et d’organisation appropriées pour garantir la sécurité et la confidentialité des données de santé à caractère personnel ».Plus facile apparemment à dire qu’à faire.
Aurélie Haroche
