Et si vos données médicales les plus confidentielles étaient rendues publiques sur Internet ? C'est la découverte faite par le site de l'actualité infirmière, Actusoins et relayée par Rue 89. Le site spécialisé a décelé plus d'une dizaine de failles informatiques en provenance de services hospitaliers d'Ile-de-France.
Feuilles de soins, prescriptions médicales, numéros de chambre et services où sont hospitalisés certains patients, coordonnées complètes, numéros de sécurité sociale, pathologies et traitements médicaux… constituent autant d'informations visibles grâce à une simple recherche Google. En cause : un oubli de désindexation de certains documents et une mauvaise protection des serveurs informatiques hospitaliers.
Des serveurs informatiques mal configurés. Cette découverte a été faite presque par hasard par le site de l'actualité infirmière. En cherchant le nom d'un praticien dans le but de réaliser un article, un journaliste est tombé sur une prescription de scanner cérébral pour "bilan de troubles cognitifs" chez une femme âgée. Figure également sur la feuille les coordonnés ainsi que les antécédents médicaux de sa patiente.
Alerté, l'hôpital Foch n'a pas caché son étonnement face à la publication d'informations aussi confidentielles. Pourtant, le centre hospitalier est loin d'être le seul à rendre publique des données personnelles sur ses patients. Le Pôle de Santé du Plateau, qui compte deux cliniques à Clamart et Meudon n'a, pour sa part, pas pris soin de verrouiller le serveur où sont hébergées les données d'admission des patients enregistrées via une borne interactive. Ainsi une liste de patients hospitalisés, contenant leur numéro de chambre et leur service est accessible sur Internet.
© Capture d'écran Actusoins
Des fiches de personnes handicapées publiées. En effectuant d'autres recherches sur Internet, Actusoins a cette fois eu accès aux données médicales de plusieurs associations de personnes handicapées. Figure ainsi la fiche d'une femme sous tutelle, présentant des "déficiences graves du psychisme consécutives à une lésion cérébrale". En cause : "des sauvegardes de bases de données et des fichiers de configuration placés dans des dossiers non protégés sur le serveur de l’éditeur d’un outil de gestion de plusieurs associations de personnes handicapées", détaille le site spécialisé.
© Capture d’écran ActuSoins
La faute à un manque de moyen ? Un spécialiste des logiciels de santé interrogé par Actusoins explique que les établissements de santé et autres associations touchant à la santé doivent normalement faire appel à l'un des quarante-quatre "hébergeurs agréés" par l'Agence des systèmes d'informations partagées de santé (ASIP santé). Sauf que, faute de moyen, les petites structures se tournent vers des systèmes moins regardants sur la sécurité.
Olivier Duffez, créateur du site WebRankInfo, portail francophone sur le référencement, explique de son côté à Actusoins que les webmasters font l'erreur ou oublient généralement d'indiquer les documents qui ne peuvent être indexés par Google. Dans le cas, le moteur de recherche les indexe automatiquement. "Comme tous les principaux moteurs de recherche, Google cherche à indexer tous les documents librement consultables sur le web. On pourrait dire que le principe 'Si ce n'est pas interdit, alors c'est que j'ai le droit', s'applique", détaille-t-il.
Vers une intervention de la Cnil ? Une explication qui risque de ne pas satisfaire la Commission nationale de l'informatique et des libertés (Cnil). "Les responsables de traitement de données sont soumis à l'obligation de la loi informatique et Libertés. Dès lors ils doivent prendre les mesures techniques et d'organisation appropriées pour garantir la sécurité et la confidentialité des données de santé à caractère personnel", indique un juriste contacté par Actusoins. La Cnil pourrait donc inciter les établissements à être plus vigilants sur la sécurité de leurs systèmes.