Des données médicales confidentielles en libre accès sur internet

12 avril 2021 | 15 424 vues | Rédaction ActuSoins | mots clefs : confidentialité, données de santé, données médicales, Dossier Médical, Enquête, google, Informatique, Juridique, moteur de recherche, professionnels de santé, Protection des données, Secret médical, sécurisationPas de commentaire

Associations, foyers, hôpitaux, entreprises privées... Faute de moyens ou de connaissance, de nombreuses structures ne protègent pas leurs données de santé. Grâce à une simple recherche Google, les journalistes d’ActuSoins ont pu avoir accès à des documents contenants des informations confidentielles -ordonnances, comptes-rendus médicaux, expertises psychologiques- ainsi que les noms et coordonnées détaillées de centaines de patients. Enquête.

Anne34* a peur. Son dernier IRM a révélé un cancer. Au fil des messages postés sur le forum on lit son angoisse : Elle ignore à quel stade elle en est, ses chances de guérison, si elle doit attendre Noël pour l’annoncer à ses proches. Dépassée, Anne34 recopie les mots savants employés par ses médecins, suivis de plusieurs points d’interrogations frénétiques « ???? ».

Compte-rendu d'examen mettant en évidence une lésion cancéreuse. Ce document était affiché en première page de résultat sur Google en saisissant simplement le nom du patient.

Rien d’inhabituel dans l’espace de discussion virtuel de la Ligue contre le cancer, l’association de prévention et d’accompagnement des malades et de leurs proches. Modéré par un médecin spécialiste, ce forum a été créé pour leur permettre « d’échanger et de partager leur expérience librement ». Comme le précise la charte utilisateur, l’anonymat est de mise : malades et soignants doivent utiliser des pseudonymes pour discuter. Mais la règle peine à être respectée.

Un jour de stress, pour qu’on lui explique un diagnostic, Anne34, publie le compte-rendu d’imagerie de la clinique qui la suit. Elle y apparaît sous ses vrais noms et prénoms... Chacun peut y lire par le menu les résultats qui dévoilent l’étendue de sa maladie. Pas seulement les autres membres du forum mais n’importe quel internaute tapant son vrai nom dans le moteur de recherche Google. Un futur employeur qui voudrait vérifier ses références par exemple ? Un assureur voulant augmenter sa cotisation ? Ses enfants à qui elle n’aurait pas annoncé sa maladie ? Une vieille connaissance voulant retrouver sa trace sur internet ?

Anne34 est décédée quelques mois après son dernier message laissé sur le forum. Ses proches ont ouvert un site pour permettre à ses amis de lui rendre hommage. Pendant plusieurs mois, toutes ces personnes et plus encore ont pu accéder aux informations les plus intimes de la défunte. De celles qu’on réserve d’ordinaire au secret du cabinet médical.

Monsieur D., Mme H., M. B….

Scanner d’évolution d’un cancer du poumon. Ici encore, le nom et prénom du patient ont été indexés par Google, permettant de le retrouver avec une simple recherche.

Nous avons fait le choix de raconter l’histoire d’Anne34, mais d’autres malades ont publié des documents médicaux sur le site de la Ligue contre le cancer, sans imaginer qu’ils seraient stockés sans précautions – au même endroit que des supports de communication de l'association ou des comptes-rendus d'assemblées générales.

Une simple recherche par mots-clefs nous a ainsi permis de consulter le scanner avec les coordonnées détaillées d’un monsieur D., atteint d’un cancer du poumon, les échanges d’emails de Mme H. avec un hôpital parisien détaillant l’état de santé de son mari traité par chimiothérapie. Noms, prénoms, emplois des personnes concernées y sont mentionnés.

La biopsie d’une tumeur au sein d’une patiente, Mme B, ainsi que son adresse. L’arrêt de travail d’un certain M. B. également en chimiothérapie, ses adresses, téléphones et même son numéro de sécurité sociale. Encore : un compte-rendu de gastroscopie, des analyses de laboratoire, un scanner, etc.

Le 3 mars 2021, la charte succincte du forum de la Ligue contre le cancer ne comportait aucune mention liée à la confidentialité des données ou à l’envoi de document médical. Il était donc impossible aux utilisateurs « d’agir en conséquence ». Une nouvelle version a été mise en ligne après notre enquête.

Combien de documents médicaux confidentiels se trouvent en libre accès sur ce serveur ? Des dizaines ? Davantage ? On l’ignore. Tout comme la Ligue apparemment qui nous répond qu’elle ne peut « contrôler en permanence l’ensemble des documents et messages publiés sur la plateforme ». Avant de renvoyer ses utilisateurs à leurs responsabilités : Ils « sont supposés avoir pris connaissance de la charte d’utilisation du forum et agir en conséquence ». Avant l’email envoyé par Actusoins en mars dernier, ladite charte ne comportait toutefois pas la moindre phrase enjoignant les patients à ne pas publier leurs documents médicaux, ni à protéger leurs données de santé.

Données « sensibles »

Par imprudence, la Ligue contre le cancer, comme d’autres structures gérant des « données de santé » a illégalement stocké ces documents confidentiels sur un serveur ouvert. Sans se poser de questions, Google les a indexés par mots-clefs et rendus disponibles à tous.

Ces données «qui révèlent des informations sur l’état de santé présent, passé, futur, d’une personne physique », sont pourtant parmi les plus protégées par le législateur. Elles « ont été élevées au rang de données à caractère personnel sensibles par le Règlement Général Sur la Protection des Données à caractère Personnel (RGPD) », explique Murielle-Isabelle Cahen, avocate spécialisée en droit informatique. Les structures gérant ce type d’informations ont ainsi l’obligation de les protéger strictement sous peine de poursuites judiciaires et d’amendes lourdes.

Les personnes dont les données de santé ont été exposées peuvent «déposer plainte au pénal ou intenter une action en réparation du préjudice subi, contacter directement l’organisme qui détient les données ou encore saisir la CNIL d’une plainte, détaille la Commission Nationale de l’Informatique et des Libertés, interrogée par ActuSoins. Cette dernière a le pouvoir de contrôler, d’avertir et sanctionner la structure prise en faute. Y compris - comme dans le cas de la Ligue contre le cancer- quand les victimes ont elles-mêmes publiées leurs données de santé sur internet. «Les principes de protection des données s’appliquent toujours, explique la Commission, peu importe si ces informations sont confidentielles ou publiques ». Une règle d’autant plus valable « lorsque celles-ci sont détenues par les établissements et professionnels de santé et protégées par le secret médical».

Hôpitaux publics

Pourtant, certains de ces établissements ont commis la même faute que la Ligue, en stockant des données de santé sans précaution. Comme a pu le constater ActuSoins, le Centre hospitalier de Millau, dans l’Aveyron, a ainsi exposé des dizaines de prescriptions de radiologie.

Demande d’IRM adressée au service de radiologie de l’hôpital de Millau, pour « recherche d’endométriose » chez une patiente clairement identifiée. Ces prescriptions étaient stockées de façon non sécurisées et accessibles en un clic sur une recherche d’image.

Comme à l'accoutumé, la plupart des prescriptions mentionnent les éléments cliniques ou les antécédents qui amènent le patient ou la patiente à passer un scanner ou une IRM. L’infraction est sérieuse : Examen de contrôle pour de l’endométriose, IRM thoraco-abdominale ou de contrôle suite à un cancer du rein,... Toujours accompagnés des noms des malades et parfois de leurs coordonnées. Par chance, quelques pièces sont mal scannées, donc peu lisibles, mais ce n’est pas la majorité. Ces informations confidentielles non-protégées étaient accessibles à n’importe quel internaute entrant simplement le nom d’une de ces victimes dans un moteur de recherche. L’infraction est grave mais est-elle, comme souvent, involontaire ?

La direction du CHU de Millau nous a assuré avoir signalé « l’incident de violation de données personnelles à la CNIL et à Cyberveille (la plateforme dédiée dépendant du ministère de la Santé et des solidarités, ndlr )», ainsi que demandé l’« effacement complet des données de santé stockées ». Les 24 patients concernés devraient également être informés de la situation. « Le site fonctionne avec un petit budget qui ne permet pas une surveillance constante », justifie quant à lui le développeur, un sous traitant chargé du fonctionnement du site de l’hôpital qui semble catastrophé par nos découvertes. D’après lui, c’est par le biais d’un formulaire de prise de rdv en ligne, permettant de joindre mettre des copies d’ordonnances, que les fuites se sont produites. « Dès que j’ai été informé du problème, j’ai tout de suite nettoyé, y compris sur Google », informe-t-il.

Demande de scanner thoraco-abdominal pour suivi d’un cancer du rein, adressée à l’hôpital de Millau.

La faille de Millau est refermée, mais elle est loin d’être un cas isolé. Notre enquête et la facilité avec laquelle nous avons pu découvrir ces centaines de documents confidentiels laissent penser qu’il ne s’agit pas de quelques erreurs à la marge commises par une poignée d’imprudents. Il s’agit d’un problème structurel dans la gestion des données médicales auquel est confronté le secteur de la santé. A la racine : le manque de moyens et l’absence de formation des professionnels qui en découle.

«L’informatique ça passe souvent après le reste»

Emmanuel Sohier de l’Agence du numérique en santé (ANS), est atterré mais peu surpris par les conclusions de notre enquête. Responsable de la cellule d’accompagnement à la cybersécurité des structures de santé, il a suivi les récentes attaques contre les hôpitaux (APHP, Rouen, Dax, Villefranche-sur-Saône, Tarare et Trévoux), rançonnés par des hackers ; la fuite de données confidentielles de 500 000 patients révélée par Liberation et, beaucoup moins médiatique, la diffusion de 50 000 comptes utilisat eurs (mots de passe et identifiants) appartenant à des agents de centres hospitaliers mis en vente sur un forum de cybercriminels. L’arbre qui cache la forêt. Ces fuites ont été mises à jour, mais combien de structures sont aujourd’hui vulnérables ?

L’expert de cette agence dépendant du ministère de la Santé et des Solidarités va droit au but : « Il y a un manque de moyen en général dans le secteur de la santé et l’informatique ça passe souvent après le reste, car la prise de conscience du problème de sécurisation des données est très récente ». Elle n’est d’ailleurs pas encore optimale : « L’inflexion de la politique en la matière se fait au rythme des incidents signalés ou dévoilés par la presse », précise-t-il. A cela s’ajoute en France, le problème du nombre importants de structures gérant des données de santé et leur extrême hétérogénéité : « Plusieurs millions dans le sanitaire, 30 000 dans le médico-social, les associations et organismes œuvrant pour le handicap, etc. ». Comment s’assurer que tous ces professionnels, spécialistes ou non, puissent convenablement protéger les données sensibles de leurs patients ? Les expertes interrogées par ActuSoins font toutes la même réponse : La formation des personnels permettrait d’éviter la majorité de ces failles de sécurité.

Annotations, agenda et tourisme médical

Car il suffit parfois de peu de choses pour éviter la catastrophe… La Maison des Kinés, une société qui propose aux masseurs-kinésithérapeutes « toutes les informations et les services indispensables à leur activité » (formations, abonnements à des magazines spécialisés, services comptables) a ainsi mis à disposition plusieurs ordonnances originales, pensant qu’il suffirait de les colorier d’un trait noir pour les anonymiser. En un simple clic, n’importe quel internaute peut toutefois enlever les « annotations » et rendre les prescriptions lisibles et leurs destinataires reconnaissables. Pire : Google indexe ces documents sans prendre en compte ces annotations. Contacté à plusieurs reprises, l'organisme n'a pas souhaité répondre à nos questions.

Même type d’erreur évitable avec les moyens et la formation adéquate dans ce cabinet d’Imagerie médicale du Centre de la France qui a carrément rendu accessible son carnet de prise de rendez-vous en ligne avec les prescriptions et les noms et coordonnées de ses patients et souvent les pathologies, parfois graves, qui les amènent à planifier l’examen.

Parfois l’imprudence des structures conduit même les données des patients à franchir les frontières. Evadeo, entreprise française qui organisent les voyages et les soins de patients d'Afrique de l'Ouest vers la France, a ainsi publié plusieurs dossiers médicaux -les comptes-rendus d’examens et d’analyses de laboratoires- de ses patients, accessibles à quiconque tape leurs noms dans la célèbre barre de recherche. Le responsable d’Evadeo a depuis évoqué un « bug technique » et a fait supprimer les données.

Doctour, une autre société immatriculée en France qui, elle, recrute des patients français pour des opérations de chirurgie esthétique en Tunisie, nous a répondu par l’intermédiaire d’un courrier de « mise en demeure » de son avocat. Ce dernier nous signale notamment que les messages laissés sur le répondeur de l’entreprise par ses futures patientes -stockés sur un serveur ouvert sans aucun contrôle d’accès- « ne sont nullement des données de santé ». Ces potentielles clientes qui croient agir en toute confidentialité y laissent tout de même leurs noms, coordonnées et le type d’opération qu’elles souhaitent faire pratiquer.

Valenciennes : Une centaine de comptes-rendus de radiologie publiés sur un blog ouvert

A l’hôpital de Valenciennes où, de prime abord, on croirait au même type d’imprudence, on nous explique pourtant qu’il s’agit d’un acte malveillant. Une centaine de comptes-rendus de radiologie de patients de ce centre hospitalier du nord de la France ont en effet été mis en ligne sur le blog des internes en radiologie de Dakar au Sénégal. Alors que certains pourraient croire à une base de données d’exercice, ces patients sont bel et bien réels, autant que leurs pathologies révélées à tous ceux qui entreront leurs noms dans le moteur de recherche le plus utilisé au monde.

Une centaine de compte-rendus d’imagerie médicale soustraits au système d’information de l’hôpital de Valenciennes et non anonymisés étaient hébergés sur un service de blog grand public.

Et autant de plaintes potentielles qui pourraient être déposées par ces malades contre l’hôpital s’ils venaient à découvrir que leurs données confidentielles ont ainsi été exposées aux yeux de tous pendant plusieurs années. Cette base de données aurait été « soustraite frauduleusement et délibérément par une personne isolée », explique le service de communication du centre hospitalier. Un personnel de l’hôpital ? « Dès que nous en avons eu connaissance par votre intermédiaire, nous répond le service de communication de Valenciennes, une enquête administrative interne a été diligentée et un signalement a été fait auprès des services du Procureur de la République».

« C’est clair que voir ses données personnelles sur place publique est révoltant, s’indigne l’avocate spécialisée Murielle-Isabelle Cahen. L’impact est très difficile à encaisser quand on sait que toutes les informations sur notre vie est exposée. La fuite peut en effet causer des dommages physiques, matériels et immatériels tels qu’une discrimination, une usurpation d’identité, une perte financière, une atteinte à la réputation, l’impossibilité de contrôler ou d’accéder à ses données à caractère personnel, etc... ». Un danger accru dans la période actuel comme l’explique l’avocate : «La pandémie a encore alourdi cet état de faiblesse, car le personnel est épuisé et davantage mobilisé sur ce problème que sur la sécurité informatique ». Même l'ANSSI, dans son dernier rapport, affirme que le contexte Covid 19, a augmenté les vulnérabilités des structures hospitalières. Une porte de sortie dans « le monde d’après »? « Nous sommes dans un monde numérique qui ne cesse d’évoluer, conclut l’avocate Murielle-Isabelle Cahen. Par conséquent, on pourrait être tenté de demander au législateur de faire évoluer la législation au rythme de la sécurité informatique ».