13 avril 2021 © Actusoins.fr Delphine Bauer, Leila Minano, Thomas Duvernoy #Connaître_et_maîtriser_les_risques
Personnes en situation de handicap ou enfants, les failles de données de santé au sein des systèmes informatiques des structures de soin n’épargnent pas non plus des personnes considérées comme vulnérables. Même involontaires, ces fuites de données peuvent avoir des préjudices importants.
Lire la première partie de notre enquête : Des données médicales confidentielles en libre accès sur internet
Claude* est une personne qui fait attention à son image. Il lui arrive néanmoins de choisir des vêtements qui ne vont pas ensemble. Claude peut acheter de façon compulsive, ses dépenses sont à surveiller. Claude a encore de la famille, aimerait avoir quelqu’un dans sa vie, apprécie les travaux manuels. D’un point de vue médical, Claude souffre, entre autres, d’une pathologie mentale stabilisée mais aussi de troubles métaboliques. Ses traitements médicaux quotidiens sont nombreux.
Nous n'avons jamais rencontré Claude, mais nous serions pourtant capables d'en faire un portrait extrêmement détaillé. Alors, qui est Claude ? Et d’où viennent ces informations ?
Claude réside dans le foyer pour adultes handicapés Accous, situé dans les Pyrénées-Atlantique. Ces éléments sont issus de son dossier personnel et donnent un aperçu de son empreinte numérique. Une empreinte numérique que Claude n’a pas choisie, ignorant tout de son existence. En cause ? La mégarde du service informatique de son foyer, qui n’a pas suffisamment sécurisé les données de santé dont il était détenteur. Or, les données de santé sont « considérées comme des données sensibles et qui sont, lorsqu’elles sont détenues par les établissements et professionnels de santé, protégées par le secret médical », comme nous le rappelle bien la Commission Nationale de l’Informatique et des Libertés (CNIL). Et la Direction de l’information légale et administrative le confirme : même si la personne en question est sous tutelle ou sous curatelle, « les informations médicales de la personne protégée ne sont pas accessibles aux tiers ».
« Nul besoin de compétences particulières : ces données sont accessibles à n’importe qui, en saisissant simplement le nom et prénom des résidents dans un moteur de recherche. »
Pourtant, malgré le caractère sensible de ces données de santé et le statut de personne protégée de Claude, Actusoins a pu y avoir accès, comme l’ensemble des informations médicales, administratives et sociales de la trentaine de résidents du foyer. Nul besoin de compétences particulières : ces données sont accessibles à n’importe qui, en saisissant simplement le nom et prénom des résidents dans un moteur de recherche.
Pendant plusieurs mois, le système de gestion administrative et médicale des résidents du foyer a été entièrement ouvert et accessible en ligne. La totalité des informations personnelles et médicales était accessible à tous, en cherchant simplement le nom et prénom d'un(e) résident(e) sur un moteur de recherche.
En décembre 2020, nous avons pu naviguer sans aucune protection par mot de passe dans tout le système de gestion du foyer médico-social indexé en totalité par Google. Depuis, l’accès a été supprimé, mais un grand nombre de documents se trouvaient toujours en cache. L’experte en cybersécurité Corinne Hénin, décrypte : « Ils ont fermé l’accès mais comme les moteurs de recherche sont passés par la page, les informations sont toujours disponibles, car le moteur a récupéré l’intégralité de la page. Ils devraient demander à Google d’effacer les pages. Il faut désindexer ».
Quelques jours avant la fin de notre enquête, le système de gestion médical et administratif du foyer a migré sur un autre serveur. Là encore, une configuration erratique a permis à l’ensemble des données d’être plusieurs jours en libre accès, le tout consciencieusement indexé par les robots de Google.
Il était possible, en naviguant librement et sans aucun contrôle d'accès sur le système d'information du foyer, de prendre connaissance d'informations particulièrement sensibles et confidentielles.
Le foyer Accous est revenu pour ActuSoins sur l’origine des fuites de données. Très embêtée, la direction de l’Adapei (Association départementale de parents et d’amis des personnes handicapées) des Pyrénées-Atlantiques, a expliqué la fusion en janvier 2018 entre le foyer Accous, auparavant géré par l’association AHMI, et l’Adapei64. « Une mise en place progressive des outils de l’Adapei des Pyrénées-Atlantiques, et notamment du logiciel associatif de gestion des projets individuels, NEO PI V2, a alors été planifiée. Dans l’attente de cette mise en place, l’établissement a élaboré son propre outil afin d’améliorer le partage d’information et donc la qualité de l’accompagnement par les professionnels », explique la déléguée à la protection des données. « Nous avons découvert en 2020 des problématiques de données accessibles, mais, avec la pandémie, nos actions ont pris du retard pour les corriger », complète le directeur de l’Adapei64. Ces fuites ont d’autant plus contrarié l’équipe qu’elle avait justement mis en place des campagnes d’information sur la confidentialité des données de patients auprès des directeurs d’établissements, des administrateurs, des personnes accompagnées… A l’aune de notre enquête, l’équipe a pu constater que « la notion de ‘’cache’’ n’avait pas été prise en compte par l’établissement », reconnaît la DPO. Le directeur nous a fait savoir qu’il a été demandé immédiatement au service informatique de « déréférencer les données et de les sortir du cache Google ». La déclaration de l’incident à la CNIL est en cours, et les familles seront prévenues. L’écart entre une culture de sécurité numérique en cours d’acquisition et les pratiques quotidiennes doit se résorber, reconnaît-on.
La CNIL précise que dans le cas de personnes en situation de handicap ou de mineurs, il n’existe pas de « circonstances aggravantes » pour les hébergeurs de données, ce qui peut sembler étonnant. Dans le cas des abus de confiance, le code pénal évoque bien la nécessité de protéger les personnes les plus vulnérables, qu’elles soient majeures ou mineures, du moment qu’elles font preuve d’une vulnérabilité due à leur âge, une maladie, une infirmité ou « une déficience physique ou psychique ». Alors pourquoi n’existe-t-il pas de telles dispositions concernant les données de santé, particulièrement sensibles ?
C’est du côté du RGPD (règlement général sur la protection des données) que nous trouvons les seules dispositions prises, et uniquement pour les mineurs. « En France, on considère qu'un mineur peut donner son consentement lui-même aux traitements de ses données à partir de 15 ans. En dessous, il faut le consentement conjoint de l'enfant et du titulaire de l'autorité parentale ». Une double sécurisation qui n’est malheureusement pas toujours appliquée.
Les données des mineurs en question
Mais dans le cas des mineurs, le double consentement est loin d’être toujours respecté. La présence sur le Net d’une ordonnance prescrite à un bébé d’un mois pour une échographie des hanches, et passée par les serveurs du CHU de Millau, pose question. Ce nourrisson aurait-il pu donner spécifiquement son autorisation ? Ses parents étaient-ils d’accord pour que soit gravée sur la toile une trace numérique du dossier médical de leur enfant, et ce, dès son plus jeune âge ?
La direction du CHU de Millau, déjà interrogée dans le premier volet de notre enquête, a fait supprimer les données et a signalé « l’incident de violation de données personnelles auprès de la CNIL et de la plateforme Cyberveille »
Extrait d'un dossier d'enfant adhérent du club sportif. Si ces données ne sont pas des données de santé, elles restent toutefois des données personnelles sensibles.
Autre exemple de données personnelles de mineurs qui ont fuité : le club sportif Orma de Riorges, dans le département de la Loire, a mis en ligne les dossiers complets d’athlétisme de ses membres, incluant la photo d’identité des enfants membres du club, les coordonnées complètes des parents ainsi que leur numéro de sécurité sociale, la signature du représentant légal et… le certificat médical d’aptitude à pratiquer son sport favori. Ainsi, on apprend que Sidonie M.* , 11 ans, est apte à la pratique de l’athlétisme pour une saison passée. Pour Nadia El Mrabet, enseignante-chercheuse à l’école des Mines de Saint-Etienne et experte en cryptographie, cette situation est « aberrante. Avec les affaires de pédocriminalité, il faut exercer une vigilance accrue », s’offusque-t-elle. Et même si les données ne révèlent ici pas de soucis de santé[1], leur mise en ligne n’en est pas moins grave. « De toute façon, aucune donnée personnelle et de santé ne doit se retrouver sur le Net. Notre empreinte numérique est suffisamment hors de contrôle sans qu’on y ajoute des données personnelles à notre insu ».
Contacté, le club sportif, association fonctionnant grâce à des bénévoles, a immédiatement « procédé à la recherche et l’élimination d’éventuels documents en souffrance sur notre site ». Les certificats médicaux ont été supprimées, les formulaires d’inscription, modifiés et l’envoi des documents se fait désormais par mail.
Les mineurs ne sont décidément pas épargnés par les fuite de données. C’est également le cas avec Numéro 1 Scolarité, entreprise de soutien scolaire pour les élèves souffrant de dyslexie, dyspraxie, dysorthographie, précocité, trouble de l'attention TDAH, dyscalculie et phobie scolaire. En raison d’une extension défaillante sur un système de gestion de contenu web largement utilisé, certains compte rendus de consultations d’enfants ont été indexés par Google et accessibles par une simple recherche. On pouvait y lire notamment, les noms, âges, coordonnées de ces mineurs, ainsi que leurs bilans psychologiques détaillés et les résultats des tests réalisés. Des informations confidentielles qui pourraient sérieusement porter préjudice à ces enfants dans leur avenir professionnel, par exemple.
Catastrophée, la fondatrice de l’entreprise a immédiatement fait désindexer le document restant (les autres ayant spontanément été déréférencés par Google, ndlr), et a notifié à la CNIL une violation de données à caractère personnel. Cible : Google, accusé ici de « vol de données », dans la mesure où le géant d’internet a maintenu en cache, donc stocké, des documents au format pdf.
L'Education Nationale a stocké des données de santé de ses élèves
Au décours d'une fiche de liaison entre collège et lycée, on découvre incidemment que l'élève concerné est diabétique. Le serveur de l'académie de Dijon stocke ainsi de fait des données de santé, sans protection et intégralement indexées par Google.
Ces questions de confidentialité, sans doute l’Education nationale aurait-elle pu aussi se les poser, avant que ne soient mises en ligne des données de santé relatives à des élèves. Dans une fiche de liaison réalisée il y a quelques années dans un collège de l’académie de Dijon, on apprend, à l’occasion des bilans réalisés sur les élèves (niveau et comportement) par l’équipe éducative que l’un d’entre eux souffre de diabète et qu’il bénéficie d’un projet d’accueil individualisé depuis la fin de l’année scolaire passée. Une information qui, comme le souligne Nadia El Mrabet, un préjudice potentiel face à un assureur qui gonflerait ses tarifs au vu d’un client à la santé fragile… Ou comment un anodin compte-rendu scolaire se transformera peut-être en préjudice pour cet adolescent devenu adulte.
On peut évoquer aussi le cas de Mathieu*, élève de primaire dans une école primaire de Haute-Garonne. Des informations comportementales et psychologiques le concernant ont été collectées par l’équipe pédagogique, démunie face à un élève au comportement inadapté et pouvant se mettre en danger, lui ou les autres.
Document complété par l'équipe pédagogique d'une école élémentaire afin de pouvoir échanger avec un "conseiller pédagogique de circonscription", face au comportement d'un élève, clairement identifié. Le document était stocké sans précautions sur un serveur de l'académie de Toulouse.
Alors qu’elle demandait sans doute conseil au Réseau d’aides spécialisées aux élèves en difficultés (RASED), l’équipe a envoyé ce document confidentiel. Mais si l’intention de l’équipe est louable, le stockage sans précaution sur le serveur de l’académie de Toulouse pose question. Comme dans toutes ces situations, ce document particulièrement sensible est accessible en un clic en cherchant le nom et le prénom de cet enfant.
Contactée, l’Education Nationale a fait savoir que « le développement d’une culture de la protection des données à caractère personnel dans ses dimensions juridiques, techniques et éthiques au sein de l’institution scolaire est primordiale et constitue une priorité », et que pour ce faire « 11 000 responsables de traitements répartis sur le territoire qu’il est nécessaire de sensibiliser afin de protéger les données de plus de 12 millions d’élèves et apprentis ». Il semble que les cas cités soient donc passés au travers de « l’acquisition et concepts de base » de la sécurité informatique, promulgués par des « séances de formations » aux futurs chefs d’établissement, des « webinaires à destination des enseignants » et « actions de sensibilisation dans les établissements ».
Les antécédents d'enfants de 6 à 10 ans, parfois lourds, étaient stockés sans précautions sur un serveur de l'académie d'Aix Marseille. Ils étaient accessibles à n'importe quel internaute recherchant le prénom et le nom d'un des enfants listés.
Ce message ne semble pas être passé jusqu’à l’académie de d’Aix Marseille qui a hébergé jusqu’il y a quelques jours un document édifiant. Destiné aux professeurs remplaçant d’une école primaire, il précisait le programme de l’année scolaire en cours, l’emplacement des fournitures scolaires, de la photocopieuse…mais aussi les projets d’accueil individualisés des élèves de l’établissement. On pouvait ainsi y découvrir la leucémie de Lucien M. ou l’asthme de Manon D, dans un document parfaitement indexé par Google, permettant à n’importe qui d’accéder à ces informations en cherchant le nom et prénoms de ces enfants.
Si tous ces documents sont désormais effacés, il est plus que probable que bien d’autres données soient facilement accessibles, et que d’autres enfants commencent leur vie numérique avec des informations personnelles ou médicales accessibles à tous.
[1] D’après la CNIL, « l’aptitude à l’exercice d’une activité sportive n’est pas en soi une donnée de santé. Néanmoins, si elle est associée et / ou croisée à d’autres informations comme les circonstances de délivrance du certificat, elle est considérée comme étant une donnée de santé. L’inaptitude à l’exercice d’une activité sportive est une donnée de santé. »
*Les prénoms et autres éléments d'identification ont été anonymisés