La sécurité des données de Santé bafouée dans le monde entier
MARDI 14 JANVIER 2020
Soyez le premier à réagirUn média américain chiffre à plusieurs millions les cas de fuite de données de Santé librement accessibles sur internet dans le monde. Alors que ce phénomène est connu depuis des années et que le risque d’utilisations malveillantes est majeur, le gouvernement américain a desserré l’étreinte juridique dans ce domaine. Heureusement en France, nous avons la certification HDS…
La protection des informations sensibles comme les données de Santé est un problème bien connu en France et les professionnels de Santé sont peu à peu sensibilisés à la sécurisation de ces informations.
Des fuites de données de Santé dans le monde entier
Ce phénomène impacte beaucoup les données images issues des examens d’imagerie médicale qui naviguent sur la toile sans aucune sorte de filtre. Mais il n’est pas franco-français, si l’on en croit le web magazine indépendant américain ProRepublica, qui rapporte que plus de 5 millions de patients aux États-Unis et des millions d'autres dans le monde voient leurs scanners ou leurs IRM à la disposition d’internautes un peu avertis. Dans son enquête, le média américain a identifié 187 serveurs de données médicales non protégés par des mots de passe ou des précautions de sécurité de base. Et il n’est pas question ici de l’intervention d’un éventuel hacker, qui aurait recours à des procédures de piratage très élaborées !
L'enquête de ProPublica s'est appuyée sur les conclusions de Greenbone Networks, une entreprise de sécurité basée en Allemagne qui a identifié des problèmes dans au moins 52 pays puis a partagé ses recherches avec le média allemand Bayerischer Rundfunk après avoir découvert que les dossiers de santé de certains patients étaient en danger. Les journalistes allemands ont ensuite approché ProPublica pour explorer l'étendue de l'exposition aux États-Unis.
Seize millions d’examens médicaux disponibles en ligne
ProRepublica cite dans son étude quelques sociétés américaines hébergeuses de données laissant à la vue de tous, ou presque, les noms de plus d'un million de patients, leurs dates de naissance ou les examens médicaux dont ils ont fait l’objet, ainsi qu’un cabinet de Los Angeles pratiquant des échocardiogrammes accessibles librement sur internet. Il avance ainsi le nombre de 16 millions d’examens dans le monde seraient disponibles en ligne, y compris les noms, les dates de naissance et, dans certains cas, les numéros de sécurité sociale. Ces pratiques vont clairement à l’encontre de la Loi américaine de 1996, la Health Insurance Portability and Accountability Act ou HIPAA, qui oblige les prestataires de soins de santé à garder les données de santé des Américains confidentielles et sécurisées.
Pourtant, Oleg Pianykh, directeur des analyses médicales au département de radiologie du Massachusetts General Hospital, met en garde, depuis des années, contre les risques d’utilisation malveillante de ces données, arguant que les logiciels d'imagerie médicale étaient traditionnellement écrits en supposant que les données des patients seraient sécurisées par les systèmes de sécurité informatique du client.
Le gouvernement américain desserre l’étreinte juridique
Joy Pritts, une ancienne responsable de la confidentialité du US Department of Health and Human Service (HHS), a déclaré d’autre part que le gouvernement n'était pas assez sévère pour contrôler les atteintes à la vie privée des patients. Elle a cité une annonce d'avril 2019 du HHS qui a décidé d’abaisser l'amende annuelle maximale, de 1,5 million de dollars à 250 000 $, pour ce que l'on appelle la « négligence volontaire corrigée », un terme qui recouvre « le résultat d'échecs conscients ou l’indifférence téméraire qu'une entreprise tente de réparer ».
Elle a ajouté que les grandes entreprises considéraient non seulement ces amendes comme le simple coût des affaires, mais qu'elles pourraient également négocier avec le gouvernement pour les réduire. Le problème est donc loin d’être résolu aux USA, alors que dans l’hexagone les organismes de tutelle ont semble-t-il sécurisé les processus en instaurant des critères draconiens pour certifier les Hébergeurs de Données de Santé (HDS). Mais cela sera-t-il suffisant contre les hackers ? Rien n’est moins sûr…
Bruno Benque