Enquête : des données médicales confidentielles accessibles sur le web

Et si votre hospitalisation en cancérologie était connue du monde entier? Et si la demande de scanner pour « récidive de cancer de la prostate » était consultable par votre employeur ? Et si la fiche confidentielle de votre fils, mineur handicapé, était lisible par n'importe quel internaute ayant un minimum de connaissances informatiques ? Vous auriez de quoi être scandalisé. C'est pourtant ce qu'ActuSoins a constaté. Enquête au fil de la Toile.

*Avertissement : Afin de protéger les données accessibles des patients et des professionnels de santé, ActuSoins a modifié tous les noms et autres moyens d'identification. La rédaction a évidemment donné la parole aux responsables des sites visés, qui pour certains d'entre eux ont immédiatement remédié à la situation. De manière à se protéger contre d'éventuelles poursuites, ActuSoins a fait toutes les sauvegardes nécessaires, l'ensemble des documents ont été anonymisés et seront détruits. Par ailleurs, avons choisi de ne pas citer les établissements et prestataires dont les données médicales sont susceptibles d’être encore indexées au sein des moteurs de recherche.

Dans Google, tapez : «Docteur Ernest Dupont*, hôpital Foch». La quête banale d'un internaute qui cherche les coordonnées d'un praticien. Maintenant, mettez-vous dans la peau d'un employeur un peu curieux et entrez : «Sylvain Durand médecin»*, le nom d'un candidat que vous avez vu en entretien ce matin.

Le résultat est sans appel: dans un cas comme dans l'autre, en première position, s'affiche un lien direct vers le serveur de cet hôpital qui conduit tout droit vers la prescription au patient d’un bilan d’oncologie. De quoi mettre dans l'embarras l'établissement de santé hébergeur tenu de garantir la confidentialité des informations de ses patients et... scandaliser Sylvain Durand qui constate que ses données sont diffusées aux quatre vents de la Toile. Peut-être que ni le docteur Dupont*, ni le patient Durand*, n'auront eu l'idée de se «googliser», mais ActuSoins, si.

Tout commence par une simple recherche bibliographique dans le cadre de la préparation d’un article. Surprise : le nom d’un médecin recherché renvoie à une prescription signée de sa main, avec les coordonnées et les antécédents médicaux de son patient.

C'est donc le plus grand des hasards qui amène notre journaliste à soulever le couvercle. De recherches Google en recherches Google, ActuSoins a mis le doigt sur des dizaines de failles et de maladresses du personnel de santé qui permettent à tout un chacun de prendre connaissance de données médicales confidentielles.

Prescription de PET Scan pour « recherche de récidive de cancer de la prostate ». Les noms du prescripteur et celui du patient étant dactylographiés, ils ont été indexés par les moteurs de recherche.

Foch : « le mystère » de l'accessibilité des prescriptions

Alerté par nos soins sur l'accessibilité de plusieurs prescriptions en ligne sur son serveur (examens, antécédents médicaux des patients ...), l'hôpital Foch de Suresnes (92) a immédiatement contacté son prestataire qui a fait le nécessaire en quelques minutes. «Ce n'est absolument pas volontaire, réagit la responsable de la communication de l'hôpital très surprise de notre découverte. Notre site n'est pas accessible par nos médecins, il y a certains médecins que vous signalez qui ne sont pas chez nous, je ne vois pas bien comment c'est possible. C'est un peu un mystère, j'enquête pour savoir d'où cela vient». Quelques jours plus tard, l'hôpital Foch expliquera ne pas avoir été en mesure d'identifier l'origine de la faille.

Mais comment expliquer que des données à caractères médicales se trouvent être disponibles sur Google? « Comme tous les principaux moteurs de recherche, Google cherche à indexer tous les documents librement consultables sur le web, explique Olivier Duffez (lire son interview complète par ActuSoins), créateur du site WebRankInfo, portail francophone sur le référencement. On pourrait dire que le principe 'Si ce n'est pas interdit, alors c'est que j'ai le droit', s'applique ». 

Ainsi, peu importe où se trouve le document, si le webmaster fait « l'erreur ou oubli d'indiquer clairement que le document n'a pas le droit d'être indexé, alors il risque de l'être». Et supprimer le document ne suffit pas car « pour constituer son index, Google garde en permanence sur ses serveurs une copie de chaque document. Si sa version en cache n'a pas été supprimée, il peut encore être consulté» (Pour le rendre inaccessible le webmaster devra suivre une procédure de désindexation).

Pourtant, cet « oubli » ou cette « erreur » peut coûter cher à un hébergeur de données de santé.... En effet, comme le précise, Nicolas Samarcq, juriste et correspondant Informatique et Libertés, «les responsables de traitement de données sont soumis à l'obligation de la loi informatique et Libertés. Dès lors ils doivent prendre les mesures techniques et d'organisation appropriées pour garantir la sécurité et la confidentialité des données de santé à caractère personnel». Le patient ou le salarié des établissements de santé dont les données confidentielles ont été rendues accessibles sans son accord, peut donc poursuivre devant les tribunaux le responsable ou déposer plainte auprès de la CNIL. Mais il faut croire que la sanction ne fait pas si peur que ça...

Liste de patients hospitalisés, contenant leur numéro de chambre et leur service. En 3 clics, n'importe quel internaute peut savoir que Mme N. a été hospitalisée en hémato-cancérologie, ou que Mme B. relève des soins palliatifs en saisissant leur nom dans un moteur de recherche.

Pôle de Santé du Plateau: La borne magique

Pour faciliter l'accueil des patients et « soutenir le personnel lors des périodes de forte affluence" , le Pôle de Santé du Plateau (constitué de deux cliniques à Clamart et Meudon, 92), a installé une borne interactive tactile. Sur le site de l'un des prestataires qui l'a mise en place on peut lire que le personnel peut grâce à un « Un clavier virtuel (..) saisir un nom de patient, de médecin ou de chambre tout en respectant la confidentialité des informations relatives à chacun».

Une confidentialité toute relative quand on sait que le prestataire de cet établissement n'a pas pris le soin de verrouiller le serveur FTP où sont hébergées les données d'admission des patients enregistrées via la borne.

Par une simple recherche Google, l'internaute lambda peut ainsi apprendre qu'Alexandra Schmidt* a été hospitalisée le 20 septembre dernier en Hémato-cancérologie (en entrant son nom, le résultat s'affiche en première page, ndlr). Et une fois le lien du serveur identifié grâce à cette recherche, il peut également télécharger la liste complète des patients inscrits sur la borne. C'est ainsi qu'on peut également connaître le médecin qui suit Nadia Ben Khelifa*, en soins palliatifs et... le numéro de sa chambre.

Aussi surpris que leurs homologues de l'hôpital Foch, la communication de la clinique répond gênée : «Ce n'est pas le dossier médical qui est disponible, c'est l'admission. Tout cela c'est notre prestataire de téléphone, on va se rapprocher d'eux immédiatement car ce n'est évidemment pas fait exprès, c'est la première fois qu'on voit ça». (Edition le 05/02/13 : Le serveur concerné a été protégé quelques heures plus tard, ndlr)

Résultats d’analyses biologiques d’un patient dont le dossier médical complet se trouve sur un site de partage de documents en libre accès

« Des logiciels développés par des stagiaires »

Ce que la responsable de la clinique appelle son « prestataire de téléphone » -sur le serveur non protégé duquel nous avons découvert les documents- ne fait pas partie des 44 « hébergeurs agréés » par l'ASIP Santé (L'agence des systèmes d'informations partagés de santé).

Pourtant, «les données médicales hébergées à l'extérieur de l'établissement, doivent obligatoirement l'être auprès d'un hébergeur agrée, explique Florian Le Goff, responsable sécurité des systèmes d'information chez 9h37, une société spécialisée dans l'audit et l'édition de logiciel de santé. Le problème c'est qu'en raison de ce monopole, les tarifs de ces sociétés sont exorbitants pour des petites structures. Alors ils développent dans leur coin des logiciels pour faciliter leur travail au quotidien, sans les outils et la formation nécessaire».

Le professionnel n'est donc pas surpris que l'on trouve de telles informations sur le moteur de recherche : «Dans les petits établissements, les logiciels sont parfois développés par des stagiaires qui partent ensuite ailleurs, ils font des sauvegardes et personne ne vérifie ensuite ce qu'elles sont devenues. C'est de cette manière qu'on retrouve facilement sur internet des bases de données comme des listes de patients».

Et en cherchant à peine, on se rend vite compte que les erreurs et autres maladresses ne s'arrêtent pas à nos frontières. Via Google, ActuSoins a pu avoir accès à des dizaines des radiologies de patients français soignés dans des cliniques dentaires hongroises. Là encore il suffit d'entrer dans le moteur de recherche le nom de la patiente associé au mot « radiographie». Le lien vers le répertoire non protégé du serveur web de la clinique est identifié et deux clics plus tard, s'affichent les autres radios, photographies buccales, devis et accords de mutuelles des patients français.

Devis de mutuelle, indexé par Google et hébergé dans le répertoire web non protégé d'une clinique hongroise.

L'exercice est tellement simple qu'on se demande comment les établissements et leurs éventuels prestataires informatiques ont pu passer à côté. Pourtant, là encore les patients pourraient se retourner contre les établissements indélicats. La Hongrie en tant que membre de l'Union européenne est soumise aux mêmes exigences en terme de traitement de données à caractère personnel (Directive du 24 octobre 1995).

C'est en poussant encore plus loin la recherche Google que nous avons pu accéder à aux données médicales de plusieurs associations de personnes handicapées.

Adultes et enfants handicapés: “Nous ne sommes pas derrière tous nos clients »

Dany Lallemand*, 10 ans, présente «un handicap moteur et mental sévère», est alimenté par voie entérale et est allergique à l’aspirine. Isabelle Duprès*, sous tutelle, présente des “déficiences graves du psychisme consécutives à une lésion cérébrale”. Toutes ces informations étaient jusqu’à mi-janvier facilement accessibles à toute personne ayant un minimum de culture générale informatique, à partir d’un moteur de recherche, et d’un navigateur standard, sans l’aide d’aucun outil ou logiciel spécialisé.

En cause : des sauvegardes de bases de données et des fichiers de configuration placés dans des dossiers non protégés sur le serveur de l’éditeur d’un outil de gestion de plusieurs associations de personnes handicapées. Interrogé, le directeur général d’une association regroupant une vingtaine de structures utilisatrices de ce système se dit “bouleversé par ses informations”. Et de justifier :“Ce ne sont pas les bases sur lesquelles nous travaillons au quotidien, mais des bases d’acculturation et de formation du personnel qui ne sont plus utilisées”. Il n'empêche que si certaines données sont fictives, d'autres (une majorité selon nos constatations) sont bien réelles et particulièrement sensibles.

C'est ainsi qu'Isabelle, Dany et des dizaines d’adultes et d’enfants handicapés ont vu leurs coordonnées complètes (adresse, téléphones), numéro de sécurité sociale, pathologies et traitements médicaux mis à disposition de visiteurs indélicats pendant de nombreux mois.

Pour l'éditeur du logiciel, “il y a manifestement un problème”, mais il est plutôt du côté des clients : “Nous ne faisons pas d’hébergement, notre métier c’est l’installation chez le client”. Il n'empêche que ces informations ont été découvertes sur son serveur.  “Les clients nous demandent des bases de démonstration pour l’accompagnement à la conduite du changement” explique-t-il. Nous ne sommes pas derrière tous nos clients pour savoir s’ils mettent des informations fictives ou non“.

Fiche d’identification d’une femme sous curatelle renforcée résidant dans un foyer pour adultes handicapés.

On l'aura compris, éditeurs de logiciels, comme établissement de santé, personne ne semble vouloir porter la responsabilité de ces failles informatiques qui rendent accessibles des données médicales confidentielles à l'internaute lambda.

Et pour cause : tous, en tant qu'hébergeur, sont passibles de poursuites judiciaires. En attendant que (peut-être un jour) les responsables soient identifiés et les failles réparées, il est temps pour vous d'entrer votre nom dans Google. On ne sait jamais.

Des données du personnel de santé également accessibles ! 

Le 28 octobre dernier, le détecteur incendie n° 231pt45 du service de réanimation d’un grand hôpital parisien se déclenche. Motif signalé par le service de sécurité incendie sur sa fiche d’intervention : « le personnel du service faisait des crêpes sans autorisation ».

Au gré de sa navigation sur le web, on peut trouver çà et là quelques sauvegardes insolites concernant la vie de l’hôpital. Une goutte d’eau cependant comparée aux informations à caractère personnel que l’on peut trouver sur les moteurs de recherches.

C’est ainsi qu’en entrant le nom de Laure Moutier*, aide-soignante, on tombe sur sa lettre de candidature au Centre hospitalier de Rumilly (Haute Savoie). Ensuite il n’y a plus qu’à se promener sur le serveur non protégé pour trouver les téléphones, adresses, parcours professionnel et autres lettres de motivation librement accessibles de tous les candidats ayant postulé.

Interrogé, le directeur de l’établissement s’énerve: «On m’en a déjà parlé, je ne suis pas du tout au courant» Avant de conclure : « vous m’excuserez ça ne m’intéresse absolument pas». Une semaine après notre appel et après quelques tâtonnements, la faille est corrigée.

L’institut de formation FormaDirect propose notamment des formations en e-learning aux personnels des établissements de santé, et dispose pour cela d’interfaces en ligne. Problème de taille : en quelques clics, n’importe quel internaute bénéficie d’un accès administrateur. Il peut consulter et modifier à sa guise la liste du personnel, les formations réalisées, télécharger les numérisations de signatures des cadres de l’établissement…

C’est ainsi que nous avons pu créer un nouvel apprenant, le faire participer à une session de formation et lui éditer une attestation parfaitement identique à celle des salariés des établissements de soins.

Alerté, notre interlocuteur chez FormaDirect n’a pas mesuré la portée de ces failles. Nous avons finalement été recontacté par le directeur de l'entreprise, qui nous a confirmé "la correction de la faille" et expliqué que cela était dû "à une récente mise à jour défectueuse."

Thomas Duvernoy et Leila Minano

Abonnez-vous gratuitement à la newsletter Actusoins

Droit de réponse

Le Pôle de Santé du Plateau a été cité ce jour dans différents articles concernant la mise en ligne sur le web de données médicales confidentielles.

Lorsque Leila Minano, journaliste du magazine « ACTUSOINS » a appelé nos services il y a quelques semaines en demandant s’il était normal que la liste des patients hospitalisés au sein de notre établissement soit disponible en ligne, nous avons immédiatement fait les recherches nécessaires.

Il s’est avéré après enquête qu’une liste de patients hospitalisés quelques mois auparavant sur laquelle figuraient les coordonnées des patients ainsi que leur service d’admission et leur n° de chambre (liste destinée à gérer les appels téléphoniques transmis par un serveur vocal, mais en aucun cas de données « médicales ») avait été enregistrée par erreur sur un serveur FTP du prestataire de téléphonie dans le cadre des essais de mise en service d’une borne d’orientation pour les patients et leur famille.

Cette procédure n’avait aucune raison d’être réalisée. Le prestataire a immédiatement supprimé la liste, a reconnu son erreur et s’en est excusé.

L’établissement tient à préciser que contrairement à ce qu’il est dit dans l’article aucune de ces données médicales ne sont hébergées à l’extérieur et que les serveurs de l’établissement sont protégés et inaccessibles.

La journaliste d’ « Actusoins » a été rappelée dans l’heure et les explications lui ont été fournies. Elle a d’ailleurs pu constater que cette liste n’était déjà plus accessible.