Risques sur les données de santé

• Imprimer

Notre confrère destiné aux infirmiers ActuSoins pointe des dérives graves dans la gestion des données médicales. Certaines ont été rendues disponibles publiquement sur le web.

Des données médicales personnelles librement accessibles sur le web sans le consentement des personnes concernées ? En France, cela n'est pas envisageable sur le plan légal. Pourtant, notre confrère ActuSoins en a trouvé par accident, suite à une banale recherche sur Google. Une simple recherche sur un médecin a ainsi abouti à la consultation de prescriptions individuelles. Les incidents isolés repérés par nos confrères ont été rapidement corrigés comme nous avons pu le constater.

Mais comment une telle horreur a-t-elle pu arriver ? Il semblerait que des documents aient été archivés sur des espaces web non-sécurisés : ni simple protection par .htaccess sur le serveur web, ni non-indexation par instruction dans le robot.txt, ni chiffrement, ni rien d'autre. Dès lors, Google a fait son travail en les indexant.

Ce qui est d'autant plus choquant, c'est que le stockage de données médicales ne peut normalement se faire que chez des hébergeurs spécialement agréés par la CNIL. Clairement, cela n'était pas le cas dans les incidents détectés par ActuSoins.

Ajoutons que la Loi Informatique et Liberté interdit par défaut tout traitement de données médicales sauf autorisation préalable de la CNIL (articles 8 et 25 de la loi). Au contraire de la plupart des traitements, soit dispensés de toute formalité soit objets de simples déclarations d'existence, les traitements de données médicales doivent en effet obtenir une autorisation spéciale de l'autorité administrative indépendante avant d'être mis en oeuvre. Les sanctions pénales dans ce genre de cas sont lourdes : 5 ans de prison et 300 000 euros d'amende.

Personne, à la CNIL, n'était disponible pour commenter ces informations.