Une femme de 37 ans découvre son dossier médical sur internet…

Source : ZEBULON.FR

Internet réserve toujours des surprises. C’est en tout cas ce que vient d’apprendre une femme de 37 ans qui a découvert sur la toile un site proposant les détails
de son accouchement. Celui-ci qui a eu lieu quatre ans et demi auparavant est donc disponible en accès libre sur internet. C’est en tapant son nom sur un moteur de recherche que la jeune femme a
fait cette surprenante découverte le 11 février dernier. C’est le journal La Provence qui relate cette mésaventure.

Cette femme n’y croyait pas mais en tapant son nom sur un moteur de recherche, elle a découvert les détails de son accouchement. Celui-ci est accessible à n’importe
quel internaute. Cette femme de 37 ans a accouché il y a un peu plus de quatre maintenant à l’hôpital Nord de Marseille. De plus, son numéro de sécurité sociale est également divulgué sur ce
site. On peut même consulter l’état de santé de son bébé à la naissance : « pâleur cutanée, signe de détresse respiratoire, cyanose du visage, transfert en réanimation. »

Cette femme a aussitôt porté plainte auprès de la brigade de Gendarmerie de Bourg-Saint-Andéol, en Ardèche où elle réside. Il s’avère que de nombreuses personnes
ont également été victime de cette divulgation de dossiers médicaux. Cette femme indique qu’elle a pu consulter des dizaines de dossiers de patients.

La direction de l’hôpital Nord de Marseille a aussitôt lancé une enquête interne afin de trouver la fuite. Selon les premières informations, il semblerait que la
fuite provienne d’un fichier rassemblant des données sur les enfants prématurés. « Les médecins qui ont mené cette étude l’ont fait héberger à l’extérieur de l’hôpital par un site qui n’avait pas
pris toutes les précautions pour en garantir la confidentialité » indique le directeur général adjoint de l’Assistance publique des hôpitaux de Marseille (AP-HM). Cette erreur aurait été corrigée
et l’Assistance Publique présente ses excuses aux patients victimes.

————————————————————————————–

Il s’agit clairement d’un incident de sécurité lié à la divulgation de données médicales personnelles. C’est l’un des
secteurs les plus « protégés » de nos données au sens où le ministère de la santé oblige tout hébergeur de données de ce type à un agrément ASIP santé. Il existe même une liste d’hébergeurs agréés de
manière à ce que la profession médicale puisse choisir en toute connaissance de cause. Il y a en a un peu moins de 50, et ils sont agréés, non pas pour l’ensemble de leur site mais pour une ou
plusieurs applications spécifiées. De même la CNIL est très soucieuse des données médicales considérées comme parmi les plus sensibles et on le comprend très bien.

Comment donc une telle bévue -qui n’est pas isolée puisque depuis plusieurs mois d’autres cas de mauvaise protection de
données médicales sont apparus- est-elle possible ?

Bien que quelques CHU (Centre Hospitalier Universitaire) aient demandé l’agrément, les hopitaux, cliniques et
médecins ou autres opérateurs de dossiers médicaux sont dispensés de cet agrément pour les données médicales de leurs patients hebergées dans leur propre système
d’informations ! Autrement dit, s’il s’agit d’un hébergeur professionnel il doit obtenir l’agrément pour héberger des dossiers médicaux, mais pas s’il s’agit d’un professionnel de santé
! J’ai vérifié et reverifié cette assertion, y compris au ministère de la santé.

Voici la liste des CHU et assimilés qui ont obtenu un agrément ASIP santé (source ASIP santé) :

• CHU de Nantes
  Le CHU de Nantes est agréé pour une prestation d’hébergement d’applications fournies par les clients et gérant des données de santé
  à caractère personnel, ainsi que pour une prestation d’hébergement de serveurs contenant des données de santé à caractère personnel.
• CHU de Nice
  Le CHU de Nice est agréé pour l’hébergement de données de santé à caractère personnel via l’application e-nadis.
• Syndicat Interhospitalier du Limousin. Le Syndicat Interhospitalier
  du Limousin est agréé pour un service d’hébergement de données de santé à caractère personnel gérées par des applications métiers fournies par leurs adhérents et gérant des données de santé à
  caractère personnel, ainsi que pour un service de stockage de données de santé à caractère personnel dans le cadre de plans de continuité et de reprise d’activité
  (PCA/PRA).
• Syndicat Interhospitalier de Bretagne
  Le Syndicat Interhospitalier de Bretagne (SIB) est agréé pour l’hébergement de données de santé à caractère personnel  gérées
  via la solution applicative ALFA-LIMA qui apporte aux clients des fonctionnalités de gestion « métiers».
• Syndicat Interhospitalier de Bretagne
  Le Syndicat Interhospitalier de Bretagne (SIB) est agréé pour une prestation d’hébergement d’applications confiées par ses clients
  (membres du SIB) et gérant des données de santé à caractère personnel à des fins de suivi médical.
• Syndicat interhospitalier d’informatique hospitalière du Nord-Pas-de-Calais
  Le Syndicat interhospitalier d’informatique hospitalière du Nord-Pas-de-Calais (SiiH) est agréé pour l’hébergement d’applications
  fournies par les clients et gérant des données de santé à caractère personnel.

Les autres CHU n’en ont pas (et n’en ont pas besoin!) notamment le CHU Marseille Nord. Par ailleurs, l’accès à ces données médicales par internet a été effectué non
pas sur le système d’information du CHU mais sur un site hébergeur choisi par les médecins pour consolider et accéder à une étude. Ils ont donc pu choisir, apparemment à l’insu de l’hopital, un
hébergeur et également recopier des dossiers médicaux, à l’insu du RSSI et de tout système de sécurisation des données et de lutte contre la fuite d’informations sensibles !

Je me suis donc renseigné sur la sécurité du système d’informations du CHU de Marseille Nord et bien entendu j’ai trouvé le rapport d’audit de certification par la Haute Autorité de Santé sur Internet
!

Le chapitre 4 est particulièrement intéressant:

Référence 4 : La politique du système d’information et du dossier du patient.

Critère 4a : La politique du système d’information est définie en cohérence avec les orientations stratégiques de l’établissement.

Éléments d’appréciation (EA)  Réponses aux EA  (Présent : OUI, EN PARTIE, NON, NA)

Prise en compte dans le schéma directeur du système d’information (SI), des orientations stratégiques de l’établissement: OUI

Connaissance et prise en compte des besoins des utilisateurs dans les projets du SI:
OUI

Projets du SI définis, hiérarchisés et structurés en fonction des processus à optimiser et en
recherchant l’adhésion des professionnels concernés: EN PARTIE

L’établissement dispose de nombreuses applications informatiques couvrant les

différentes fonctions médicales, médicotechniques, administratives et logistiques. De nombreux développements ont été effectués par le service informatique de l’établissement en associant les professionnels concernés et permettant une meilleure ergonomie
des différents processus de prise en charge des fonctions cliniques et des fonctions support.
La couverture des besoins reste cependant disparate selon les disciplines et
l’état d’avancement est variable selon les sites : interfaçage logiciel
psychiatrie/pharmacie sur un des deux sites seulement. La procédure de choix d’un dossier patient
informatisé (DPI) couvrant l’ensemble du processus de prise en charge du patient a permis d’associer un
grand nombre de professionnels et constitue une structuration majeure du système
d’information.

Cependant, les reports successifs du déploiement de ce DPI ont mis en
évidence deux constats :

– une communication difficile sur les dates prévisionnelles de mise
en oeuvre ;

– des fonctionnalités sensibles non assurées dans l’immédiat

(identitovigilance).

Politique formalisée du dossier du patient:  OUI

Association des différents professionnels et instances à l’élaboration de la politique du dossier
du patient: OUI

Politique du dossier du patient favorisant la confidentialité, la fiabilité,
l’accessibilité, la sécurité et le stockage des informations ainsi que la coordination des professionnels et des secteurs d’activité: OUI

Règles de constitution, de tenue, de communication et de conservation du dossier du patient:
OUI

———————————————————————

En lisant ce rapport d’audit public on voit clairement qu’il a été répondu « OUI » sans préciser comment et avec quels constats (référence à la procédure interne,
preuves par interview avec le nom de l’interviewé et la date, analyse des journaux informatiques et des enregistrements papier, etc…). En tant que Lead Auditeur ISO27001 et suivant les bonnes
règles et pratiques d’audit ISO19011, j’affirme qu’il n’est pas possible de répondre « OUI » ou « non conforme » sans avancer de preuves. En résumé, les clauses de l’audit auxquelles il a été répondu
« OUI » sans constat font aujourd’hui défaut: défaut de confidentialité, défaut d’application de règles de protection du dossier du patient.  

Comment rectifier tout celà avant que les utilisateurs du système de santé perdent complètement confiance dans le système (comme cela vient de s’avérer pour la
traçabilité alimentaire) ? La réponse est la même dans tous les cas:

1- Il faut que l’audit soit mené par une tierce partie, non partie prenante dans le système de santé.  

2- Tout système d’information qui héberge des données sensibles doit être audité.

3- Un référentiel d’audit permettant d’atteindre un « minimum d’hygiène » doit être utilisé. (voir le site de l’ANSSI à ce propos).

4- Un plan d’actions correctives immédiates doit être mis en oeuvre dès la fin de l’audit.

Dans le prochain article je vais donc traiter de l’architecture cible sécurisée idéale d’un hébergeur de données sensibles basée sur le respect des meilleures
règles de sécurité, notamment pour assurer la confidentialité, l’intégrité, la disponibilité et la traçabilité. Cela permettra de créer un réferentiel d’audit pratique indépendamment du
logiciel hébergé et de ses failles de sécurité éventuelles. La mise en oeuvre de cette architecture permettra -à minima- d’éviter de tels incidents.