Récemment, sur Internet, une jeune mère, hospitalisée il y a quatre ans à l’Assistance publique – Hôpitaux de Marseille (AP-HM), est tombée sur son dossier médical. Et ce cas ne serait pas un cas isolé. En effet, en février dernier, “sans que les patients s’en apperçoivent, des données issues de l’hôpital Foch de Suresnes ou encore du Pôle de santé du Plateau, qui regroupe les cliniques de Clamart et Meudon (Hauts-de-Seine), se sont elles aussi retrouvées sur Internet […] A chaque fois, il s’agit d’erreurs humaines, de négligence, pas de malveillance“, et “d’autres cas pourraient être révélés“. Un paradoxe souligne la journaliste, le milieu de la santé étant soumis au secret médical.
Concrètement, à Marseille, “des médecins voulaient lancer une étude sur les bébés prématurés et avaient besoin de partager les informations avec d’autres maternités“. Mais “devant l’absence de réponse de la direction à leur demande d’obtention d’un serveur sécurisé pour stocker ces données, ils ont fait appel à un prestataire. Lui a eu recours à un hébergeur non agréé par le ministère de la santé, qui fixe de strictes règles de sécurité“.
Ces règles de sécurité existent depuis dix ans et “l’obligation de faire appel à l’un des quarante-sept hébergeurs de données de santé agréés par le ministère de la santé” est l’une d’elles. Cependant, “elles ne sont pas toujours connues ni appliquées“. Jeanne Bossi, secrétaire générale de l’Agence des systèmes d’information partagés de santé précise que “les professionnels de santé et les administratifs sont souvent ignorants des risques, il y a un vrai besoin de pédagogie sur les questions de sécurité“.
Pour Frédérique Lesaulnier, coordinatrice du pôle santé de la CNIL, “Internet peut rendre de grands services en matière de santé, mais est aussi porteur de menaces nouvelles pour la protection des données personnelles, compte tenu des risques de divulgation. Malgré les progrès accomplis, il faut encore élever le niveau de sécurité“.
Pour Vincent Trély, ancien responsable de la sécurité des systèmes informatiques de l’hôpital du Mans et président de l’Association pour la promotion de la sécurité des systèmes d’information de santé (Apssis), “le passage du papier au numérique est irréversible mais, dans la santé, il se fait très vite et sans culture de la sécurité, contrairement à la banque ou à l’industrie de pointe“, des secteurs dans lequel il a également exercé. Ainsi, “ce qu’il redoute surtout, c’est le chantage numérique, déjà constaté aux Etats-Unis, autour de ces données sensibles, donc ‘monnayables’ “. Il a également “la conviction que si un hackeur s’y intéressait, en une semaine, des milliers de dossiers pourraient être trouvés“.
Le Monde (Laetitia Clavreul) 20/03/2013
