Données de santé et protection des personnes

L’informatique et Internet ont bouleversé notre vie quotidienne, mais la rapidité de leur évolution pose un problème d’adaptabilité, songez simplement à l’ordinateur que vous possédiez il y a 10 ans et comparez-le à un téléphone portable dernier cri… Il est  normal que le commun des mortels se sente plus ou moins ignorant devant les fruits les plus récents de l’industrie des nouvelles technologies, mais son incompétence (légitime) doit-elle constituer un danger pour lui ? Le surfeur averti saura déjouer les pièges, éviter les téléchargements périlleux, pendant que le débutant ou le simple amateur va emplir son disque dur de malware, chevaux de Troie et autres réjouissants petits programmes qui permettront à des hackers peu scrupuleux d’aspirer tout ou partie des informations de l’ordinateur familial (ou professionnel), de prendre le contrôle de telle ou telle application, ou de pirater les informations de paiement, les dossiers, les comptes mail ou autres…

Il importe donc d’être un minimum formé et informé sur les risques

Au mois de mars dernier de nombreuses personnalités américaines dont Michelle Obama et Hillary Clinton se sont fait dérober leurs numéros de carte de crédit, de sécurité sociale, et certaines de leurs informations personnelles ont été dévoilées (historique de compte en banque, numéros de téléphone…). Barack Obama a déclaré que le piratage était un « gros problème ». Dans les mois qui ont précédé,  Apple et Microsoft avaient eux aussi été victimes de cyber-attaques.

 

Respecter des règles de sécurité générale dans l’utilisation d’internet :

Quelques précautions simples permettent cependant, non pas d’éliminer les risques, mais de rendre la tâche plus difficile aux mauvais génies de l’informatique… l’essentiel étant d’essayer de faire preuve de discernement !

–          Les mots de passe :
La longueur d’un mot de passe augmente le temps nécessaire à le décrypter, y mélanger chiffres, lettres (majuscules et minuscules). 8 caractères semblent suffire.
Ne jamais les noter sur votre ordinateur, ou votre téléphone, si vous les trouvez, le pirate le fera aussi. On déconseillera également de les noter sur un post-it à côté de l’écran.
Changer régulièrement de mot de passe pour les données très importantes.

–          Utilisation d’internet :
Ne téléchargez que les programmes provenant de sociétés reconnues.
Analysez les exécutables avant de les lancer pour la première fois.
Utilisez un pare-feu (firewall) et un antivirus, lancez des analyses complètes régulièrement.
Préférer les connexions filaires au Wifi.
Eviter l’utilisation de logiciels de téléchargement P2P

–          Ordinateur :
Mettre à jour régulièrement ses programmes.
Paramétrer une fermeture de session après 15 minutes d’inactivité.
Créer des sauvegardes régulièrement.

 

Les données de santé : des information sensibles

En ce qui concerne les données de santé une enquête d’ActuSoins de mars 2013 (http://www.actusoins.com/12771/des-donnees-medicales-confidentielles-accessibles-sur-le-web.html) a soulevé des manquements sérieux à la sécurité des données de santé par un simple recherche sur Google, ne nécessitant aucune compétence sophistiquée ni logiciel spécialisé  Ainsi les journalistes Thomas Duvenoy et Leila Minano  décrivent leur démarche : Dans Google, tapez : «Docteur Ernest Dupont*, hôpital Foch». La quête banale d’un internaute qui cherche les coordonnées d’un praticien…en première position, s’affiche un lien direct vers le serveur de cet hôpital qui conduit tout droit vers la prescription au patient d’un bilan d’oncologie. De quoi mettre dans l’embarras l’établissement de santé hébergeur tenu de garantir la confidentialité des informations de ses patients et de  scandaliser le patient qui constate que ses données sont diffusées aux quatre vents de la Toile. Autre exemple dans un établissement qui dispose de bornes informatiques dans le hall  Par une simple recherche Google, l’internaute lambda peut ainsi apprendre qu’Alexandra Schmidt* a été hospitalisée le 20 septembre dernier en Hémato-cancérologie (en entrant son nom, le résultat s’affiche en première page, ndlr). Et une fois le lien du serveur identifié grâce à cette recherche, il peut également télécharger la liste complète des patients inscrits sur la borne. C’est ainsi qu’on peut également connaître le médecin qui suit Nadia Ben Khelifa*, en soins palliatifs et… le numéro de sa chambre.

 

Respecter la réglementation qui régit les données de santé

Nos institutions ont pourtant  œuvré  pour mettre en place des règles qui visent à la protection des données  personnelles, en particulier lorsque ces données sont stockées sur des serveurs ou échangées entre professionnels. Les mesures de sécurité et de confidentialité sont particulièrement drastiques dès lors qu’on touche au domaine de la santé. Les exemples révélés par ActuSoins montrent que ces règles ne sont pas appliquées dans de nombreux établissement. Le Huffington Post vient tout récemment de lancer une alerte sur ce point (http://www.huffingtonpost.fr/barbara-bertholet/donnees-medicales-en-ligne_b_3162327.html?ncid=edlinkusaolp00000003&ir=France).

La réglementation est précise que ce soit avec la loi Informatique et Liberté ou les articles du Code de Santé Publique concernant les données de santé. Ainsi les règles sont clairement définies :

Tout stockage de données de santé sur un serveur doit avoir fait l’objet d’une demande d’autorisation auprès de la CNIL (et non pas d’une simple déclaration).

Les données de santé doivent être hébergées sur un serveur agréé ASIP, ou être stockées sur un serveur interne à l’établissement (ce cas est de moins en moins fréquent car les établissement se regroupent et utilisent un serveur externalisé donc nécessairement agréé ASIP).

L’accès des médecins doit se faire grâce à une Carte de Professionnel de Santé ou  d’un dispositif équivalent agréé.

Si le patient a accès à ses données de santé, il doit y accéder par un identifiant et un mot de passe ET un système qui assure un accès unique (en pratique soit envoi d’un code à usage unique par SMS ou par mail).

Le DMP (Dossier Médical Personnel) est l’exemple type d’un système qui répond à des normes élevées de sécurité.

Si vous êtes patient ou professionnel de santé et que vous participez à un programme de télémédecine ou que vous disposez d’un dossier médical hébergé sur un serveur, un moyen simple pour vous assurer que vos données sont en sécurité est de faire un courrier à la CNIL pour vérifier que le système utilisé a bien fait l’objet d’une déclaration à cet organisme garant de la sécurité et de la confidentialité des données personnelles.

La réglementation en vigueur mise en place par les institutions a  de quoi assurer une sécurité satisfaisante des données de santé dans la majorité des situations. Encore faudrait-il que les établissements, les médecins et les patients se conforment à la loi, et qu’en cas de manquement des sanctions  soient appliquées. Il reste cependant un risque incompressible car il est bien évident que tout système à ses failles et qu’un hacker de haut niveau qui s’attaque à un serveur même parfaitement protégé, arrivera probablement à lever les sécurités.

Ce contenu a été publié dans Actualités, Télémédecine, avec comme mot(s)-clef(s) , , , . Vous pouvez le mettre en favoris avec ce permalien.