/image%2F1490620%2F20160113%2Fob_f72574_clap-blog.jpg)
Depuis Actusoins, le 8 février 2013.
Et si votre hospitalisation en cancérologie était connue du monde entier?
Et si la demande de scanner pour « récidive de cancer de la prostate » était consultable par votre employeur ?
Et si la fiche confidentielle de votre fils, mineur handicapé, était lisible par n'importe quel internaute ayant un minimum de connaissances informatiques ?
Vous auriez de quoi être scandalisé. C'est pourtant ce qu'ActuSoins a constaté. Enquête au fil de la Toile.
Dans Google, tapez : «Docteur Ernest Dupont*, hôpital Foch». La quête banale d'un internaute qui cherche les coordonnées d'un praticien. Maintenant, mettez-vous dans la peau d'un employeur un peu curieux et entrez : «Sylvain Durand médecin»*, le nom d'un candidat que vous avez vu en entretien ce matin.
Le résultat est sans appel: dans un cas comme dans l'autre, en première position, s'affiche un lien direct vers le serveur de cet hôpital qui conduit tout droit vers la prescription au patient d’un bilan d’oncologie.
De quoi mettre dans l'embarras l'établissement de santé hébergeur tenu de garantir la confidentialité des informations de ses patients et... scandaliser Sylvain Durand qui constate que ses données sont diffusées aux quatre vents de la Toile. Peut-être que ni le docteur Dupont*, ni le patient Durand*, n'auront eu l'idée de se «googliser», mais ActuSoins, si.
Tout commence par une simple recherche bibliographique dans le cadre de la préparation d’un article.
Surprise : le nom d’un médecin recherché renvoie à une prescription signée de sa main, avec les coordonnées et les antécédents médicaux de son patient.
C'est donc le plus grand des hasards qui amène notre journaliste à soulever le couvercle. De recherches Google en recherches Google, ActuSoins a mis le doigt sur des dizaines de failles et de maladresses du personnel de santé qui permettent à tout un chacun de prendre connaissance de données médicales confidentielles.
Foch : « le mystère » de l'accessibilité des prescriptions
Alerté par nos soins sur l'accessibilité de plusieurs prescriptions en ligne sur son serveur (examens, antécédents médicaux des patients ...), l'hôpital Foch de Suresnes (92) a immédiatement contacté son prestataire qui a fait le nécessaire en quelques minutes.
«Ce n'est absolument pas volontaire, réagit la responsable de la communication de l'hôpital très surprise de notre découverte. Notre site n'est pas accessible par nos médecins, il y a certains médecins que vous signalez qui ne sont pas chez nous, je ne vois pas bien comment c'est possible. C'est un peu un mystère, j'enquête pour savoir d'où cela vient».
Quelques jours plus tard, l'hôpital Foch expliquera ne pas avoir été en mesure d'identifier l'origine de la faille.
Mais comment expliquer que des données à caractères médicales se trouvent être disponibles sur Google?
« Comme tous les principaux moteurs de recherche, Google cherche à indexer tous les documents librement consultables sur le web, explique Olivier Duffez (lire son interview complète par ActuSoins), créateur du site WebRankInfo, portail francophone sur le référencement. On pourrait dire que le principe 'Si ce n'est pas interdit, alors c'est que j'ai le droit', s'applique ».
Ainsi, peu importe où se trouve le document, si le webmaster fait « l'erreur ou oubli d'indiquer clairement que le document n'a pas le droit d'être indexé, alors il risque de l'être».
Et supprimer le document ne suffit pas car « pour constituer son index, Google garde en permanence sur ses serveurs une copie de chaque document. Si sa version en cache n'a pas été supprimée, il peut encore être consulté» (Pour le rendre inaccessible le webmaster devra suivre une procédure de désindexation).
Pourtant, cet « oubli » ou cette « erreur » peut coûter cher à un hébergeur de données de santé...
En effet, comme le précise, Nicolas Samarcq, juriste et correspondant Informatique et Libertés, «les responsables de traitement de données sont soumis à l'obligation de la loi informatique et Libertés. Dès lors ils doivent prendre les mesures techniques et d'organisation appropriées pour garantir la sécurité et la confidentialité des données de santé à caractère personnel».
Le patient ou le salarié des établissements de santé dont les données confidentielles ont été rendues accessibles sans son accord, peut donc poursuivre devant les tribunaux le responsable ou déposer plainte auprès de la CNIL. Mais il faut croire que la sanction ne fait pas si peur que ça...
Pôle de Santé du Plateau: La borne magique
Pour faciliter l'accueil des patients et « soutenir le personnel lors des périodes de forte affluence" , le Pôle de Santé du Plateau (constitué de deux cliniques à Clamart et Meudon, 92), a installé une borne interactive tactile. Sur le site de l'un des prestataires qui l'a mise en place on peut lire que le personnel peut grâce à un « Un clavier virtuel (..) saisir un nom de patient, de médecin ou de chambre tout en respectant la confidentialité des informations relatives à chacun».
Une confidentialité toute relative quand on sait que le prestataire de cet établissement n'a pas pris le soin de verrouiller le serveur FTP où sont hébergées les données d'admission des patients enregistrées via la borne.
Par une simple recherche Google, l'internaute lambda peut ainsi apprendre qu'Alexandra Schmidt* a été hospitalisée le 20 septembre dernier en Hémato-cancérologie (en entrant son nom, le résultat s'affiche en première page, ndlr). Et une fois le lien du serveur identifié grâce à cette recherche, il peut également télécharger la liste complète des patients inscrits sur la borne.
C'est ainsi qu'on peut également connaître le médecin qui suit Nadia Ben Khelifa*, en soins palliatifs et... le numéro de sa chambre.
Aussi surpris que leurs homologues de l'hôpital Foch, la communication de la clinique répond gênée :
«Ce n'est pas le dossier médical qui est disponible, c'est l'admission. Tout cela c'est notre prestataire de téléphone, on va se rapprocher d'eux immédiatement car ce n'est évidemment pas fait exprès, c'est la première fois qu'on voit ça». (Edition le 05/02/13 : Le serveur concerné a été protégé quelques heures plus tard, ndlr)
Lire la suite :
http://www.actusoins.com/12771/des-donnees-medicales-confidentielles-accessibles-sur-le-web.html
