Par hasard, je viens de tomber sur ce que je qualifierais de faille de sécurité au niveau d'un portail de l'assurance maladie. Cela m'est apparu d'autant plus sérieux qu'elle concerne le secret médical dû aux patients. Cela me rappelle un portail "médecin traitant" sur AMELI mis imprudemment en ligne avec une sécurité bien légère et avant un week end par les informaticiens de l'assurance maladie et qui avait été hacké par quelques carabins autant potaches que geek de la liste médicale FULMEDICO :-)
Il y a la législation :
- Article 4 du Code de Déontologie médicale repris dans le code de la santé publique (article R.4127-4) : Le secret professionnel, institué dans l'intérêt des patients, s'impose à tout médecin dans les conditions établies par la loi. Le secret couvre tout ce qui est venu à la connaissance du médecin dans l'exercice de sa profession, c'est-à-dire non seulement ce qui lui a été confié, mais aussi ce qu'il a vu, entendu ou compris.
La notion essentielle est « dans l'intérêt des patients », et contrairement à une idée reçue le secret est opposable y compris à un médecin s'il ne concours pas aux soins du patient
- La loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé : « Art. L. 1110-4. - Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant.
« Excepté dans les cas de dérogation, expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel de santé, de tout membre du personnel de ces établissements ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tout professionnel de santé, ainsi qu'à tous les professionnels intervenant dans le système de santé.
« Afin de garantir la confidentialité des informations médicales mentionnées aux alinéas précédents, leur conservation sur support informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d'Etat pris après avis public et motivé de la Commission nationale de l'Informatique et des Libertés. Ce décret détermine les cas où l'utilisation de la carte professionnelle de santé mentionnée au dernier alinéa de l'article L. 161-33 du code de la sécurité sociale est obligatoire...»
Et il y a la vrai vie, des médecins et des services administratifs qui reçoivent des patients sans leur carte SESAM VITALE et se demandent s'ils ont bien des droits ouverts ?
La CNAM a donc mis en place un portail multi organismes (régime général, RSI, MSA, SLI ... ) permettant de divulguer ces renseignements :
https://portail.sesam-vitale.fr/cdr/accueil
Et ce qui me stupéfait le plus c'est qu'ils ont bien obtenu l'autorisation de la CNIL pour le faire ! Ainsi peut-on lire par exemple sur la page du RSI : « ...Conformément à la loi Informatique et Libertés du 6 janvier 1978, le service Consultation des droits a été déclaré à la CNIL. Notre numéro d'enregistrement est le 1270819 (version 0 du 18/01/08).
Vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant :
• Par courrier à votre Caisse régionale RSI.
Pour toute information complémentaire sur la protection des données personnelles, vous pouvez consulter le site de la Commission Nationale de l'Informatique et des Libertés...»
Quand en tant que médecin je veux me connecter au dossier médical informatisé d'un patient par exemple en Rhône Alpes (DPPR) j'ai besoin de ma CPS et de la carte vitale du patient (où de son accréditation clairement signée lors d'une hospitalisation), mais là ma CPS ou une CPX suffisent en renseignant soit le n° de sécurité sociale du patient (assez facile à reconstituer) ou les nom, prénom et date de naissance de ce patient (très faciles à se procurer sur Wikipédia par exemple pour une personnalité !) et moyennant quoi vous pouvez obtenir l'identité complète avec le nom de JF pour les femmes mariées, le n° de sécu si vous ne l'aviez pas, les droits sécu, le bénéfice de la CMU, de l'exonération du ticket modérateur, le fait d'avoir choisi un médecin traitant et son identité en clair !
Autant de renseignements couverts par le secret professionnel et potentiellement consultables sans l'autorisation du patient, ainsi je ne me suis pas donné d'autorisation (!) et j'ai pu consulter ma propre fiche sur le RSI que je publie en annexe : j'ai bien des droits ouverts depuis 1987, ne bénéficie ni de la CMU ni de l'ALD et suis mon propre médecin traitant ! Il est évident que j'aurais pu faire la même chose pour n'importe quelle personnalité après avoir recherché et trouvé sa date de naissance sur Wikipédia.
Bien entendu la CNAM donne des infos d'usages et consignes légales (voir ci-dessous), mais personnellement, en tant qu'utilisateur des plateformes informatiques traitant des données de santé depuis de nombreuses années, je trouve ce portail peu fiable et à même de préserver la confidentialité et le secret médical dû aux patients de notre pays.
Dr Marcel GARRIGOU-GRANDCHAMP, LYON 3è, FMF CELLULE JURIDIQUE
SERVICE D'UTILISATION EN LIGNE DES DROITS DE L'ASSURE
Le service de Consultation des Droits en ligne a pour objectif de fiabiliser le processus de facturation. Il permet au personnel administratif des Etablissements de santé de consulter les informations pour la prise en charge de la part obligatoire des assurés qui se présentent sans leur carte Vitale.
Conditions d'utilisation
L’utilisateur s’abstiendra, s’agissant des informations auxquelles il accède, de toute collecte, de toute utilisation détournée. Les informations mises à disposition le sont uniquement à des fins de facturations. La révélation d’une information est passible de l’article 226-13 du code du pénal (la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende). Il est rappelé que l’attribution des cartes CPx est du ressort du Directeur d’établissement ou d’un délégataire qui se porte garant du bon usage de ces cartes (article R 161-52 et suivants du code de la Sécurité Sociale ). L’article L162-1-14 du code de la sécurité sociale précise que le non respect du caractère personnel de la CPx peut aboutir à un contentieux et au versement de pénalités financières. Enfin il est rappelé à l’utilisateur que toutes les connexions ainsi que les accès au service sont tracés. L’utilisateur reconnaît avoir pris connaissance des conditions d’utilisation de ce service et s’engage à les respecter.