Ton dossier médical sur Internet

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

Facebooktwitterlinkedinmailby feather

Voilà quelques mois que l’on parle de ces questions de sécurité de données médicales. Le marché est florissant et visiblement, tous les acteurs ne mettent pas le même entrain à chiffrer, puisque une Marseillaise à découvert, tranquillette en surfant sur la toile, son dossier médical en ligne.

Capture

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

La faille a été réparée depuis mais il a quand même été possible d’accéder en quelques clics aux dossiers médicaux pendant plusieurs mois. C’est la non sécurisation en amont des données et le fait qu’il ait fallu que l’article sorte pour que l’administration hospitalière daigne prendre les choses en main qui est ici problématique.

Business de la protection sociale

Mieux ! le site révélait aussi que les listings étaient accessibles et que l’on pouvait ainsi connaitre jusqu’au numéro de chambre des patients et le service dans lequel ils étaient soignés… De quoi déduire, pour certains d’entre eux, que la personne hospitalisée est atteinte d’une grave maladie.

Les conséquences sont désastreuses puisque si fuite de données médicales il y a, les assurances peuvent s’en servir pour refuser de prendre en charge tel ou tel patient, pour augmenter leurs tarifs suivant les problèmes médicaux des personnes… Le business de la protection sociale que cela pourrait entraîner s’ajouterait donc à la violation de vie privée.

L’enquête pointe aussi du doigt la volonté de certaines administrations hospitalières à refuser de faire appel à des sociétés agréées par l’Etat, qui garantissent la protection de ces données médicales. Elles préfèreraient auto-héberger leurs données dans des conditions de sécurité déplorables plutôt que de dépenser le budget nécessaire.

This post has already been read 2023 times!

twitterlinkedinby feather

Auteur : Ju

Manager en sécurité informatique, je travaille sur le secteur depuis plusieurs années après une reconversion réussie suite à 12 annés dans le journalisme. J'adore la recherche, Je suis certifiée Iso/CEI 27001 Lead Auditeur (PECB) – ISLA1006895-2015-09. Parfois, je donne des cours et des conférences, et j’ai eu deux livres publiés par un éditeur… il y a fort longtemps.

4 réflexions sur « Ton dossier médical sur Internet »

  1. L’auto-hébergement n’est pas incompatible avec la sécurité des données. Les données médicales des français sont pour le moment majoritairement « auto-hébergées » chez leur médecin traitant. La répartition de ces dossiers sur des milliers d’ordinateurs (même mal sécurisés) fait plus pour le secret médical que ne le fera jamais le Dossier Médical Personnel. Car si les vœux des technocrates se réalisent (un DMP par français) le jour où quelqu’un hack la base de données (hébergée par ATOS connu en Angleterre pour ses problèmes de sécurité informatique voir lien en bas de commentaire), il aura accès à tout les dossiers. Je préfère savoir mon dossier sur le pc Windows XP pas à jour et sans mot de passe de mon vieux docteur qui l’éteint le soir en partant que sur les serveurs « agréés » de Atos. De plus, ça coûtera moins cher de sécuriser les serveurs des médecins et des hôpitaux que de continuer à financer le gouffre financier du DMP.
    http://massiliasantesystem.com/index.php/Dossier_m%C3%A9dical_personnel
    Comme Big Pharma, Big Data et Big Brother n’œuvrent pas pour le secret médical ou pour la santé, mais pour leur chiffre d’affaire et leurs actionnaires.

  2. Je n’ai jamais dit que l’auto-hébergement est mal, bien au contraire, puisque même ce site est hébergé sur le serveur d’un copain.
    L’autohébergement peut etre tres bien, à condittion que ce soit fait par quelqu’un (ou quelques uns) qui sait faire… Il s’agit de données médicales donc personnelles et ultrasensibles… donc à ne pas confier à n’importe qui en termes de sécurité.
    Il se produira la même chose si on vole l’ordinateur de votre médecin que si quelqu’un hacke la base dont vous parlez.

  3. A ceci près que dans un cas 800 dossiers seront compromis (patientèle moyenne d’un généraliste), et dans l’autre 60 millions.
    Les exploits d’Atos (la société qui hébergera votre dossier médical personnel) en matière de sécurité: http://news.bbc.co.uk/2/hi/7704611.stm
    Vous connaissez sûrement leurs exploits humains vis à vis des personnes handicapées en Angleterre.
    Vouloir centraliser des informations personnelles, médicales, sur des êtres humains, est une idée fondamentalement dangereuse. C’est une atteinte à la liberté et à la dignité des personnes. C’est l’inverse d’internet. Ce fut le rêve et le projet de toutes les dictatures. C’est en train de se réaliser. Et la médiatisation de l’article de la Provence, volontairement ou pas, apporte de l’eau au moulin de Big Brother.

  4. Au sujet du Dossier Médical Personnel, voir le rapport de la Cour des Comptes, il est accablant: http://www.ccomptes.fr/Actualites/A-la-une/Le-cout-du-dossier-medical-personnel-depuis-sa-mise-en-place
    210 millions depuis 2005 (estimation basse) € pour 158000 dossiers ouverts, ça fait 1300€ par dossier. J’estime qu’avec une architecture acentrée, des serveurs simples chez les médecins, quelques logiciels libres et quelques informaticiens intervenant dans les cabinets, ça aurait coûté environ 10 à 20 millions d’Euros. Encore mieux: la carte vitale 2 (celle avec la photo) peut contenir l’équivalent de plusieurs pages de texte au format A4… ce qui est largement suffisant pour mettre un résumé des points importants du dossier mis à jour automatiquement à chaque consultation. En cas d’urgence, on a juste besoin des allergies, des antécédents importants, des médicaments (cette base là existe déjà et marche parfaitement) et des motifs des dernières consultations. Tout ça tient largement dans la carte vitale 2. Ce DMP ne sert qu’au fichage généralisé et à enrichir l’industrie qui va avec. 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *