Données médicales : la CNIL met en demeure plusieurs établissements de santé
MONDE - Les données numériques des Français sont-elles suffisamment protégées ? Peu après la cyberattaque de grande ampleur qui a ciblé fin janvier les deux opérateurs de tiers payant, Viamedis et Almerys, la Commission nationale de l’informatique et des libertés (CNIL) a annoncé avoir mis en demeure des établissements de santé pour leur protection insuffisante et “inadaptée” des dossiers patients informatisés (DPI). L’autorité, qui souligne le volume et surtout, la sensibilité de ces données, a rappelé les mesures de sécurité et de confidentialité auxquelles doivent se soustraire les établissements de santé. Cette mise en demeure intervient dans un contexte marqué par une numérisation effrénée des documents sensibles et par son corollaire, une recrudescence des cyberattaques.
Fin janvier, les données de plus de 33 millions de Français ont fuité. Deux cyberattaques successives ont ciblé les prestataires Viamedis et Almerys, spécialisés dans la gestion du tiers payant pour de nombreuses complémentaires santé et mutuelles. Les données personnelles compromises ne sont pas les plus sensibles, certes, mais le butin des hackers est sans précédent. Les victimes concernées, près de la moitié de la population française, ont vu leur numéro de sécurité sociale ou des données personnelles comme leur état civil hackés.
Le secteur de la santé, proie facile ?
L’information a été dévoilée une semaine plus tard par la CNIL, qui a souligné qu’à ce stade de l’enquête, les informations bancaires ou médicales ne semblent pas être concernées par ces deux cyberattaques, qui ont débuté avec le hameçonnage du compte d’un professionnel de santé. Néanmoins, les données récupérées par les hackers peuvent mener à des usurpations d’identités ou des tentatives de phishing. Le parquet de Paris a annoncé dans la foulée l’ouverture d’une enquête.
Des professionnels de santé ont été directement touchés et l’un d’eux, Hugues Verdier-Davioud, président de la Fédération nationale des opticiens de France (FNOF), a affirmé avoir à de nombreuses reprises alerté la CNIL sur les défaillances liées à la sécurité des données personnelles et médicales. Il évoquait d’ailleurs la collecte, par les complémentaires santé, d’informations peu indispensables à leur fonctionnement.
Coïncidence ? La commission a confirmé ce constat dans un communiqué diffusé le 9 février 2024. La CNIL y met en demeure plusieurs établissements de santé. Elle veut que celles-ci prennent “des mesures permettant d’assurer la sécurité du dossier patient informatisé”. Réagissant à des alertes au sujet d’accès illégitimes aux données de patients contenus dans les DPI, l’autorité explique avoir procédé, entre 2020 et 2024, à 13 contrôles auprès d’établissements de santé, non identifiés dans le communiqué.
LA CNIL pointe un laisser-aller inquiétant auquel ces établissements doivent mettre fin et liste les mesures à prendre avant la fin de cette année.
Le permis de conduire numérique avant l’euro dématérialisé ?
Il s’agit, essentiellement, de la mise en place de trois types de protection, comme une authentification robuste avec des mots de passe complexes, des habilitations spécifiques à chaque professionnel de santé et le traçage des accès aux dossiers patients informatisés.
La cyberattaque ayant ciblé Viamedis et Almerys ainsi que cette mise en demeure de la CNIL démontre que les données des Français, aussi sensibles soient elles, ne sont pas à l’abri. Et dire que le ministère de l’Intérieur vient d’annoncer la généralisation, depuis le 14 février, du permis de conduire numérique ; généré par l'application officielle France Identité !
Selon l’enquête Global Data Protection Index (GDPI) de l’un des plus grands fabricants d'ordinateurs au monde, Dell, plus de 54 % des entreprises à travers le monde ont été la cible d’attaques. En France, une trentaine de collectivités territoriales, ainsi que neuf hôpitaux, ont été victimes de cyberattaques.
La carte vitale devrait être à son tour numérisée en 2025, en attendant... la monnaie ? Le projet d’un euro numérique, porté par la Banque centrale européenne (BCE), est en cours de finalisation et les monnaies numériques de banque centrale (MNBC) suscitent l’inquiétude, aussi bien chez les citoyens que parmi les professionnels de la finance.
À LIRE AUSSI
L'article vous a plu ? Il a mobilisé notre rédaction qui ne vit que de vos dons.
L'information a un coût, d'autant plus que la concurrence des rédactions subventionnées impose un surcroît de rigueur et de professionnalisme.
Avec votre soutien, France-Soir continuera à proposer ses articles gratuitement car nous pensons que tout le monde doit avoir accès à une information libre et indépendante pour se forger sa propre opinion.
Vous êtes la condition sine qua non à notre existence, soutenez-nous pour que France-Soir demeure le média français qui fait s’exprimer les plus légitimes.
Si vous le pouvez, soutenez-nous mensuellement, à partir de seulement 1€. Votre impact en faveur d’une presse libre n’en sera que plus fort. Merci.