Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

Imaginez un instant que des personnels soignants discutent de leurs patients, dossiers médicaux et pathologies dans un lieu public. Imaginez qu’ils y laissent traîner leurs documents, sans protection. C'est ce qui s'est produit, au sein d'une des équipes médicales d'un établissement privé, pendant 18 mois, jusqu'à ce que nous tirions la sonnette d'alarme. Ce n’est ni une cyberattaque ni un problème dans les services internes, mais un parfait exemple de Shadow IT.

Le 16 décembre 2024 à 12h13

La semaine dernière, nous évoquions le cas des pharmacies qui demandent à leurs clients d’envoyer leurs ordonnances sur des messageries… Gmail ou Hotmail. Une pratique qui soulève des questions quant à la confidentialité des données (qui plus est de santé) se retrouvant sur des serveurs américains et donc soumises au Cloud Act.

Le retour des Google Groupes mal configurés

Mais il y a pire, bien pire sur les Google Groupes… On en parlait il y a deux ans : une mauvaise configuration peut laisser l’ensemble des conversations d’un groupe accessibles à tout le monde. Nous avions, par exemple, trouvé des listes de parents d’élèves avec leurs coordonnées, une convocation à un conseil de discipline d’une personne arrivée alcoolisée et très en retard sur son lieu de travail, etc. Autant de données sensibles qui devraient rester confidentielles.

Aujourd’hui, les deux sujets, données de santé et Google Groupes, se rejoignent. Nous avons pu consulter un groupe de discussion mis en place par l'une des équipes d’une clinique du groupe de santé Clinifutur. Les conversations du groupe sont restées accessibles pendant 18 mois, alors qu'elles contenaient de nombreux échanges à caractère médical et des donnés de santé qui auraient dû rester confidentielles.

18 mois de conversations et de données médicales sur Internet

Aware2, lecteur de Next, nous a signalé ce groupe et nous avons dès le lendemain matin contacté la clinique, via leur formulaire de contact et avec un appel téléphonique dans la foulée. Face à la gravité de la situation, nous voulions être certain que notre message soit bien entendu afin que le nécessaire soit fait le plus vite possible.

Dans notre message, nous avons également donné des explications sur la manière de limiter rapidement les dégâts, en quelques clics via les paramètres de confidentialité du Groupe. En effet, une première action rapide à mettre en place devait être de limiter la visibilité du groupe (qui était alors visible par « tous les internautes »).

D’après nos constatations, l’accès à tous a été coupé le jour même à 12h12, soit trois heures après notre signalement. Nous nous sommes entretenus avec le service communication de la clinique dans l’après-midi. Il nous a remercié pour le signalement (remerciements que nous transmettons à Aware2) et nous a confirmé avoir fait le nécessaire pour couper les accès au plus vite.

La clinique nous indique qu'elle a contacté la CNIL et qu’elle va se conformer aux demandes et recommandations qui lui seront faites par la Commission. Elle affirme en outre que les patients mentionnés dans les publications de ce Google Groupe, dont les données personnelles ont donc été accessibles, seront contactés individuellement.

Pour fermer les vannes, il fallait trouver la personne dont le compte était à l’origine de la création du Google Groupe afin qu’il fasse les changements nécessaires. Avant d’être coupé, le Groupe comptait 775 conversations, la première remontait au 26 mai 2023 et la dernière le vendredi 13 au matin (6h58), soit 2 h avant notre signalement.

Shadow IT au rapport

Le tout premier message expliquait que ce groupe avait pour but de simplifier les « conversations internes », notamment vis-à-vis d’autres établissements du groupe de santé Clinifutur. On est en plein dans le cas du Shadow IT, ou informatique fantôme, avec ce qui semble être une bonne intention de départ, ou moins répondre à un besoin.

Ce sujet est d’ailleurs important pour la CNIL, qui recommande de l’intégrer dans les chartes informatiques des entreprises. Dans les choses à ne pas faire, la Commission indique en effet : « ne pas tenir compte des pratiques réelles des usagers, de leurs attentes et de leurs besoins en définissant les règles d’usage des moyens informatiques : l’informatique fantôme (ou « shadow IT » en anglais) révèle parfois des besoins essentiels non pourvus par l’organisme ou un dysfonctionnement structurel ».

La situation actuelle semble parfaitement coller à cette définition. La clinique nous affirme d’ailleurs prendre la cybersécurité au sérieux et disposer d’un Responsable Sécurité des Systèmes d'information (RSSI). Malgré tout, ce Google Groupe, hébergé et géré en dehors de ses infrastructures, est passé sous ses radars. Il était animé avec des échanges réguliers. Il devait donc répondre à un besoin, même si son créateur ne s'est visiblement pas posé la question de la confidentialité des échanges sur un tel outil.

Dossiers médicaux, patients récusés, prothèses mammaires…

Mais que trouvait-on exactement dans les conversations ? Nous pouvons répondre à cette question maintenant que les accès ont été fermés par la clinique. Nous avons évidemment anonymisé l’ensemble des conversations et des documents, de manière forte : nous ne laissons volontairement aucune indication sur les noms, les dates, les pathologies… mais les informations que nous cachons derrière des blocs blancs ou des *** étaient bien présentes.

Dans les conversations, on retrouvait des dossiers médicaux de patients avec la liste de leurs traitements et leurs antécédents, les interventions à venir, des correspondances avec d’autres médecins, des comptes rendus d’examens, etc.

Pour d’autres patients, on apprenait qu’ils avaient été récusés, parfois avec le motif : « Après discussion avec les collègues, nous avons décidé de récuser l'enfant *** *** Je me charge de prévenir les parents et *** *** ». « Nous avons vu en consultation Mme *** *** pour prothèse ***. Le bilan a retrouvé un déficit en *** qui la contre-indique pour une prise en charge ***. Je vais l’appeler aujourd’hui pour lui faire part de notre décision ».

Discussion autour d’un « manquement grave »

Une des conversations tournait aussi autour d’un mail reçu par la clinique suite à « manquement médical grave patient *** *** », selon le médecin d’un patient : « Bonjour, je vous remercie de transmettre ce mail au médecin *** ayant pris en charge ce patient. […] Il m'apprend ce jour que ce traitement, qu'il ne faut absolument pas arrêter en raison d'un risque d'effets rebonds et ***, l'a été en contexte périopératoire. Hormis le fait que cette attitude cavalière aurait pu engager le pronostic vital du patient, cette attitude n'est absolument pas confraternelle ».

En plus du message, les réponses étaient également accessibles. Voici par exemple le retour d’un personnel de la clinique : « Bonjour les secrétaires, j'ai revu avec le docteur ***, il y a eu une grosse incompréhension qui a été debrièfé. Bonne soirée ».

« Placement à la naissance »

Dans le Google Groupe, les sujets abordés étaient de nature très diverse, avec des implications aussi bien médicales que sociales. Il y avait ainsi le cas d’une patiente « à risque en maternité », dont le compagnon avait fait de la prison ; un couple « pouvant être violent » :

« Je vous informe d'une situation qui pourrait être pas facile à gérer en maternité avec placement à la naissance. Mme *** *** **/**/**** déséquilibré et non suivi, refus d’hospitalisation par DG, avec *** enfants placés ou adoptés.

Le nouveau-né devra être hospitalisé *** pour éviter tout risque de fugue avec le nouveau-né (motif médical à évoquer pour l'hospitalisation ***) en attendant le placement. Les parents pourront voir le nouveau-né toujours en présence d'un professionnel. L'équipe pourra être renforcée si nécessaire ».

Autour de ce cas, des discussions internes sur les moyens et la circulation des informations étaient également accessibles à n’importe qui : « Je suis particulièrement interloqué par le processus d'information et de réunions administratives concernant cette patiente. Tout d'abord, je suis consterné par la façon dont nous avons été informés. C'est une situation à risque de violences pour les soignants et la conduite à tenir proposée est plutôt légère ».

« Le code est le suivant pour récupérer les clés : **** »

Autre sujet dans les conversations : « la clé du coffre des stups de la pharmacie de la mater. On doit la mettre ou exactement ? J’imagine que posée devant le dit coffre, c’est pas très certif…. ». Cette certification (nous allons y revenir) était visiblement un enjeu important et les clés un vrai problème.

Pour celles des chambres de garde, une solution a été trouvée, mais tout le monde sur Internet avait accès au code : « suite à la perte répétitive des clés de la chambre de garde nous avons installé un boitier à code pour récupérer les clés ! Ce sera votre Airbnb (...). Le code est le suivant pour récupérer les clés : **** ».

Visite de l’HAS pour certification de la clinique

Mais de quelle certification parle-t-on ? Celle de la Haute Autorité de Santé (HAS) qui venait rendre une visite pour évaluer le « niveau de qualité et de la sécurité des soins ». Les notes de service aussi étaient accessibles via ce Google Groupe. Dans un .pptx intitulé « COMMISSION MÉDICALE D'ÉTABLISSEMENT ET CONSEIL DE BLOC » on pouvait même lire le détail du calendrier de visite de la HAS.

Ce document Google Slides était encore accessible après la fermeture du Google Groupe, mais il a été rendu privé après un signalement de notre part. La clinique devait d’ailleurs faire un tour général des autorisations de partage des documents… et nous en avons profité pour soulever la question de l’hébergement de données personnelles et de santé chez Google.

Comptes rendus, commentaires, modèle d'ordonnance…

Dans les conversations, on trouvait aussi des échanges surprenants : « Salut, est ce que mesdames les secrétaires, vous pouvez nous envoyer en format word un model d'ordonnance vierge avec les noms a jour svp ? », avec le .docx dans les réponses bien évidemment.

Des discussions plus classiques entre personnels soignants et les secrétaires étaient aussi accessibles à tout le monde, simplement en étant de passage sur le Google Groupe : En voici quelques exemples.

« Je vous fais part du CR cardio reçu hier soir concernant monsieur *** *** né le **/**/****. Dossier qui était à staffer ». « Veuillez trouver ci-joint le dossier a staffer de Mme *** *** née le **/**/****. Madame aura rdv avec le Dr *** *** au *** le **/**/**** ». Ce dernier dossier est accompagné d’une remarque : « Purée c’est terrible tous ces antécédents a cet âge… mais je suis d’avis favorable pour le faire a la clinique », etc.

Administratif, relation avec les patients… tout y passe

Des personnels de la clinique discutaient aussi des réponses à apporter aux commentaires des patients : « Bonjour, Nous avons reçu ci-dessous, un avis négatif sur la fiche Google Mybusiness de la clinique *** concernant ***. Avez-vous des informations concernant cet événement indésirable, et que souhaitez-vous lui répondre ? Pour rappel le commentaire est public, la réponse également, sur la fiche Google de la Clinique *** ».

Il y a également des dossiers administratifs avec, par exemple, le cas d’un « forfait non coté hier pour une patiente ». Ce à quoi un médecin répond « C'est bon, c'est codé. Merci *** une nouvelle fois de ta vigilance ». On trouve également des échanges sur l’organisation des vacances de fin d’année, avec les absences des différents médecins, etc.

« "Couloir" des chirurgiens » et secret médical

L’une des dernières conversations concerne les conditions de travail et le « "Couloir" des chirurgiens ». « Je viens vers vous concernant le bureau des chirurgiens au bloc. Actuellement il s'agit plutôt du "couloir des chirurgiens". Visiblement, comme beaucoup de chirurgiens l'ont fait cette semaine, j'ai signalé les problèmes à *** **** ce matin. Certains relèvent du détail, mais d'autres ne peuvent pas être pris à la légère ».

Et dans la liste des griefs, le premier point concerne justement la confidentialité : « pas de respect du secret médical, puisqu'il s'agit réellement d'1 couloir, avec passage de personnel, et de patients, dans une zone où des ordinateurs avec des dossiers patients papier ou informatisés sont ouverts. Je ne suis pas certain que cela s'inscrive bien dans la démarche de certification actuelle de la clinique ».

La cybersécurité est l’affaire de tous

Ce dernier exemple montre le problème du Shadow IT. Ce médecin semble parfaitement être conscient des enjeux autour du secret médical, mais ne devait certainement pas se douter que sa conversation était accessible à tout le monde sur Internet. La clinique, à n’en pas douter, va faire passer le message en interne pour que cela ne se reproduise pas. Un message de prévention qu’il serait bon de rappeller plus largement dans toutes les entreprises !

Mais cet exemple est l’occasion de rappeler ces enjeux à tout un chacun : posez-vous la question des outils utilisés. Sont-ils les bons ? Sont-ils suffisamment sécurisés ? Répondent-ils aux exigences en termes de sécurité, de confidentialité et le cas échéant de souveraineté ? On mesure la sécurité d’un ensemble à son maillon le plus simple. Cette expression prend tout son sens ici.

Commentaires (30)

votre avatar
Faut vraiment faire attention au shadow IT qui a tendance à bien se développer en raison des règles de sécurité qui sont vues comme une énorme contrainte, et souvent déconnectées de l'opérationnel.

Donc, le problème n'est pas que d'un côté. C'est bien d'avoir un SI super sécurisé, mais s'il ne tient pas compte des contraintes opérationnelles, le shadow IT se développe très vite, et on ne peut pas reprocher aux utilisateurs de vouloir travailler.

C'est pour cela qu'il faut bien faire des CAB, de la sensibilisation, et surtout mettre dans la boucle décisionnelle des solutions possible à apporter au système d'information pour le sécuriser les équipes opérationnelles.
votre avatar
J'ai vu ça au boulot aussi, quand ça commence à bloquer ou compliquer le travail habituel des utilisateurs, ils ont tendance à chercher des solutions eux-mêmes pour regagner en efficacité sans prendre en compte les aspects sécurités et compagnie.

J'en suis aussi coupable d'ailleurs (Obsidian pour la prise de note) parce que le temps que la demande logiciel spécifique passe par toutes les moulinettes (étude de faisabilité, sécurité, réseau etc) t'es 6 mois plus tard.
votre avatar
C'est assez difficile à trouver cet équilibre car on parle bien d'un équilibre. Si la sécurité fait mal son travail en ne dialoguant pas avec les métier et qu'elle n'utilise pas de pédagogie alors les utilisateurs vont se retrouver dans ce cas d'usage et trouver des solutions à faire pâlir un mort.

Dans des petites structures c'est quand même plus simple à faire mais quand tu entres dans des grands groupes c'est beaucoup plus difficile et c'est souvent la rétorsion qui fonctionne mieux que la diplomatie (les ressources SSI étant souvent sous dimensionnées).
Si tu communique bien alors il ne faut pas hésiter à utiliser le fouet pour se faire entendre car quand c'est des enjeux de certifications, les conséquences sont très graves.
votre avatar
Merci Sébastien pour cet article et l'analyse complète. Je comprends mieux le teasing de vendredi :D
J'ai tout simplement été choqué quand je suis tombé sur ce Google Groups :eeek2:

Merci d'avoir fait le signalement à la clinique !

J'espère que ce cas servira d'exemple dans la profession...
votre avatar
Je n’y crois pas trop personnellement.
Est-ce que la clinique s’expose à des poursuites ? C’est tout de même très grave.
votre avatar
Si cela va aux oreilles de la certification et si cette dernière concerne l'aspect informatique (il y a des certif sur plein de trucs), la certification peut ne pas être renouvelé. Sans certification, la clinique ne peut plus avoir d' autorisation de faire des soins, ou bien plus sioux ne plus facturer aux caisses.
votre avatar
Merci pour les précisions !
votre avatar
Bonjour,

Nous utilisons cet outil pour échanger entre les médecins, les infirmières, les services sociaux, les kinés, les pharmaciens, etc…
https://www.globule.net/

C'est payé par l'ARS de Nouvelle Aquitaine.

À voir, cela peut-être utile à la Clinique.

Je suis sûr qu'il existe d'autres solutions logiciels sur le marché.
votre avatar
Intéressant, mais aussi pose plein de questions.

Je vais prendre sous l'angle du RGPD : la responsabilité de la clinique peut-elle être engagée ? Autrement dit, la clinique peut elle etre vu comme co-responsable de traitement ?

La première réponse, en première réflexion, est non. Ce n'est pas elle qui est à l'origine de ça.

En seconde réflexion, a priori, ça a été fait par des employés pour des employés. Si le mécanisme s'est mis en place, c'est sans doute à cause d'un besoin non satisfait (ou d'une manière loin d'être satisfaisante) des employés par les outils de la clinique. Mais bon, potentiellement, cela a pu être mis en place en violation complète du règlement intérieur et/ou de la charte informatique.

Délicate question, et il serait très intéressant que la CNIL se penche un peu la-dessus.

De plus, quels sont les risques encouru par les utilisateurs, et surtout par le responsable de traitement (ici, le "créateur" du groupe) ? D'un point de vue théorique, les sanctions prévues RGPD s'appliquent, même si c'est une personne physique (car en dehors d'un usage privé). Dans ce cas, l'amende basée sur le CA n'a pas de sens (ou alors on prend le salaire...). On atteint donc la limite de 20 millions d'€ en théorie ? La CNIL pourrait-elle alors mettre une amende à un salarié d'une entreprise ayant initié le shadow IT ?

Et un employé poursuivi par la CNIL pour manquement au RGPD dans le cadre de son activité pourrait-il se retrouver contre son employeur pour défaut de moyen suffisant pour exercer les missions qui lui sont confiés ?

Ce cas est très intéressant, car en plus d'être révélateur du danger du shadow IT, il soulève de nombreuses questions tant du point de vue des responsabilité que du point de vue juridique.
votre avatar
La clinique est responsable du traitement. Certes, elle n'était pas au courant, mais le traitement a été mis en place par des employés de la clinique, pour les employés de la clinique.

Absolument aucun doute que leur responsabilité peut être engagée.
votre avatar
Les choses ne sont pas aussi simple. Le responsable de traitement a une définition juridique bien précise (aliéna 7 article 4 du RGPD):
«responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
Il me parait difficile de décider des finalités d'un traitement alors même qu'on n'est pas au courant que le traitement existe.

Le RGPD ne parle pas du lien de subordination, ou, autrement dit, un employé. Que l'employé à l'origine du groupe soit considéré comme responsable de traitement, ça ne fait guère de doute. Que cette notion se retrouve de facto à l'entité qui l'emploie, c'est une autre vision à laquelle le RGPD seul ne répond pas.

Qui plus est, la réponse, si il en existe une, aura sans doute des éléments à prendre dans le règlement intérieur / charte informatique.
votre avatar
Comme tout les traitements, ses finalités sont déterminées par les salariés et autres représentants de la personne morale. Il n'empêche que la personne morale est nécessairement responsable du traitement.

Que les personnes concernées n'aient pas suivi les règles en vigueur au sein de leur institution, c'est une chose mais je ne vois pas en quoi ça jouerai dans la détermination du rôle de responsable de traitement.

Et ça serait même un peu facile, en ma qualité de DPO j'ai déjà croisé tout un tas de traitements plus que douteux, parfois créé avec la complaisance de la direction, parfois dans leur dos, mais dans tous les cas, il ne fait aucun doute que la personne morale est responsable du traitement et est responsable des conséquences, y compris financières, d'une violation du RGPD
votre avatar
Comme tout les traitements, ses finalités sont déterminées par les salariés et autres représentants de la personne morale
Attention tout de même. Un représentant n'est pas forcément salarié (exemple : chef d'entreprise TNS) et un salarié n'est pas forcément un représentant (= ayant autorité pour agir). Un représentant est censé être désigné pour pouvoir agir.
Que les personnes concernées n'aient pas suivi les règles en vigueur au sein de leur institution, c'est une chose mais je ne vois pas en quoi ça jouerai dans la détermination du rôle de responsable de traitement.
Parce qu'encore une fois, le responsable de traitement a une définition juridique bien précise dans le RGPD. Et il me parait fort difficile de déterminer la finalité d'un traitement (et encore moins les moyens !) alors qu'on ne sait même pas qu'il existe, et que la personne qui en est l'auteur n'est pas représentante du responsable de traitement.

Sauf à considérer que tout salarié est représentant de son employeur. Ce que je n'ai vu nul part jusqu'à présent et n'est pas présent dans les textes du RGPD.

Dans le cas présent, et après un peu plus de réflexion, la Clinique ici serait responsable, non pas en tant que responsable de traitement, mais en tant que victime d'une violation de données. Elle pourrait donc éventuellement être poursuivie pour des manquements quant à la sécurisation, mais pas pour le traitement.

C'est d'ailleurs le chemin qu'elle semble avoir pris en contactant la CNIL d'une part, et en voulant contacter les patients concernés d'autre part.
votre avatar
il me parait fort difficile de déterminer la finalité d'un traitement (et encore moins les moyens !) alors qu'on ne sait même pas qu'il existe
La personne morale (dont font partie les employés) sait bien qu'il existe ce traitement (puisque ce sont des employés qui l'ont mis en place et l'utilisent).
votre avatar
Clinifutur ... surement des visionnaires..

je ==>[]
votre avatar
[Mode coup de gueule ON]
Perso, je serais pour une méga-amende ultra dissuasive et affichée afin que celà serve de leçon et que la grande majorité des autres sociétés se bougent pour corriger celà. C'est grave bordel !
=> fouetté en publique > affiché > punition
Stop à la seule pédagogie, quand on voit la liste des mots de passe utilisés dans les sociétés, y-a vraiment de quoi se poser des questions légitimes sur les compétences des branlots aux manettes...
[Mode coup de gueule OFF]
votre avatar
J'ai eu le même ressenti quand j'ai parcouru ce groupe et vu l'ampleur et le type des données disponibles... Oui c'est très grave :cartonrouge: Punir, mais est-ce suffisant ?

Je ne sais pas s'il sera possible d'avoir des news sur la suite de ce dossier côté Cnil (j'en doute), mais maintenant la balle est du côté de la Cnil. Il faut que les différentes instances publiques travaillent ensemble. Cnil, HAS, ANSSI, [ajouter d'autres organismes ici ^^] et travailler ensemble, sur la sensibilisation, formation, les outils. C'est peut-être déjà le cas, ou pas, je ne sais pas.

Dans un monde de bisounours j'ose y croire, mais bon...

D'ailleurs, concernant les pharmacie et leurs adresses mails. Je viens de faire le test sur Mon Espace Santé, et l'envoi d'une ordonnance à une pharmacie.

Sur les 15 pharmacies de ma commune (92) seule une est éligible à l'envoi d'une ordonnance via l'Espace.
Les autres :
"Pharmacies indisponibles
Je ne peux pas contacter les pharmacies suivantes car elles ne disposent pas d’une messagerie sécurisée compatible avec Mon espace santé."
:craint:
votre avatar
Mouai mon espace santé c'est hebergé sur le health data hub de Microsoft == same shit!
votre avatar
Non. Mon Espace Santé (connu aussi sous le nom de DMP) est actuellement hébergé par Atos, en France, et ceci, depuis le début (soit début des années 2010).

Absolument pas par Microsoft.

Le Health Data Hub n'a rien à voir avec Mon Espace Santé.
votre avatar
Sur les 15 pharmacies de ma commune (92) seule une est éligible à l'envoi d'une ordonnance via l'Espace.
Les autres :
"Pharmacies indisponibles
Je ne peux pas contacter les pharmacies suivantes car elles ne disposent pas d’une messagerie sécurisée compatible avec Mon espace santé."
Je crois que dans mon offficine, mon chef a créé la boite MSS organisationnelle par accident. L'année dernière, j'avais fait un test à partir de mon espace santé. Nous avons re-découvert que 6 mois plus tard, cette messagerie organisationnelle et mon message envoyé.

Je crois qu'elles sont gérées par les ARS.
L'information est très succinte sur le site de l'Ordre des pharmaciens:
https://www.ordre.pharmacien.fr/les-communications/focus-sur/les-actualites/l-envoi-d-ordonnances-via-mon-espace-sante
Il manque clairement une campagne de communicatiion conjointe de l'Ordre des Pharmaciens et des différents ARS auprès des pharmaciens titulaires pour activer et utiliser ces messageries organisationnelles.

Sauf erreur, les offcines du 92 devrait faire les démarches via ces liens:
https://www.sesan.fr/services/mss
https://www.urps-pharmaciens-idf.fr/activez-votre-boite-aux-lettres-organisationnelle/

Si tu connais des pharmaciens du 92, pourquoi ne pas leur en parler??
votre avatar
J'espère que la clinique se fera bien sanctionnée par la CNIL (même si ça reste peu probable). L'erreur de bonne foi ne peut pas tout excuser.

Mais le problème de base est que les gens ne savent pas se servir de l'outil informatique, et ne comprennent pas ce qu'ils voient à l'écran. Je sors d'une visite chez mon médecin traitant, à qui on a installé un nouveau logiciel de suivi des patients. Vu qu'il était paumé et ne savait pas remplir mon dossier, il a appelé devant moi l'assistance technique. Un opérateur a pris la main sur la machine (et a donc accédé à ma fiche médicale, pourtant confidentielle...). Et là mon médecin dit "ya un sablier qui tourne, c'est quoi ?!". Il a 55-60 ans, et vu son discours il utilise ce logiciel contre son gré.
votre avatar
Ouais, la technologie évolue et prend de plus en plus de place mais les compétences de certaines personnes ne suivent pas...
On en arrive à des scénarios comme celui de l'article ou de votre commentaire :frown:
votre avatar
Est-ce que vous pourriez enquêter sur les raisons de ce groupe public (je ne suis pas très familier avec les capacités de l'outil) ? Pourquoi y ont-ils eu recours. C'était une vraie plateforme de travail ou bien ils s'y échangeaient parfois des documents ponctuellement ?
Les détails étaient croustillants mais je ne comprends pas trop comment ils en sont arrivés là.
Un prochain article @SébastienGavois ?


Et sinon dans mon boulot (grand groupe), on ne peut plus copier sur USB alors on trouve souvent des magouilles genre cloud perso. C'est con, car juste pour transférer des fichiers sur un PC labo hors IT on les sort du réseau. Les exceptions USB sont possibles mais à peu près du niveau administratif d'une demande d’azile je pense. A renouveler très souvent aussi.
votre avatar
C'est indiqué dans l'article :
Le tout premier message expliquait que ce groupe avait pour but de simplifier les « conversations internes », notamment vis-à-vis d’autres établissements du groupe de santé Clinifutur.
Ce n'est pas une plateforme de travail en soi, c'est un groupe de discussions, c'est comme une liste de diffusion/distribution.
votre avatar
OK mais ça remplaçait un outil ? Le complétait ? Je suis loin du monde médical mais j'imagine qu'il y avait un vrai système si on parle de Shadow IT.

Et tout était public, mais il n'y a pas d'échanges privés dans une clinique ?

En fait je n'ai pas trop compris comment ils fonctionnaient et comment ils devaient fonctionner.
votre avatar
Ah, l'utilisation d'outils non validés par le département IT!
J'ai adoré l'engouement pour Prezi il y a quelques années. Avec un compte gratuit, toutes les présentations créées étaient publiques. Et comme il y avait toujours bien un c*n pour vouloir impressionner son patron, c'est fou ce ce qu'on pouvait y trouver. Quand je m'en suis rendu compte, j'ai contacté le département IT de ma boîte pour qu'ils bloquent l' accès au site pour éviter les fuites. Il y avait déjà des infos de notre boîte dessus qui n'auraient pas dû s'y trouver, mais rien de bien grave.
Par contre , chez un de nos concurrents principaux, il y avait quelqu'un à la stratégie qui avait l'air vraiment motivé à l'idée d'impressionner le board. Tous les comptes et les plans d'expansion pour une large zone géographique étaient détaillés, chiffres à l'appui, dans des présentations qui frimaient un max! Trouvables par n'importe qui sur le site de Prezi juste en cherchant "NomDeLaBoite"+ "Confidentiel" 😁

Allez, si vous avez du temps à perdre, il y a de quoi s'amuser...

https://prezi.com/explore/search/?search=Confidentiel
votre avatar
Impressionnant, merci pour le partage !

En effet, en cherchant juste sur "confidentiel", on tombe assez vite sur des pépites !
Ta boite ne serait pas dans les produits pétroliers, par hasard ? Parce qu'avec le mot-clé "confidentiel", je suis tombé sur une prez qui correspond étrangement à l'exemple que tu cites ! :D

Par curiosité, j'ai regardé pour ma boîte (multinationale de +100.000 salariés), et à vue de nez, il y a surtout des supports de soutenance de stage et d'alternance (avec les noms de tuteurs / responsables / collègues en passant...).
Mais en bonus, quelques présentations de comm' interne, et même une qui mentionne la direction SSI de la boîte, il y a vraiment des baffes qui se perdent !

C'est sûr, c'est plus sexy que PowerPoint, mais il suffit de lire les 10 premières lignes des conditions pour lire que Prezi a tous les droits sur les données, y compris de les mettre à dispo en public :windu:
votre avatar
Non, à l'époque, j'étais dans une boîte de matériaux e de construction en Asie. Mais la connerie n'a pas de frontières :D
votre avatar
Et en bonus, une petite prez' du RGPD !!! :roule:
votre avatar
Merci. Je suis allé faire un tour pour voir ce qu'on pouvait trouver sur mon employeur.
Effectivement, surtout des rapports de stage.
J'en ai parcouru une en détail : purée, ça donne mal à la tête ces zoos avant et arrière ...

Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

  • Le retour des Google Groupes mal configurés

  • 18 mois de conversations et de données médicales sur Internet

  • Shadow IT au rapport

  • Dossiers médicaux, patients récusés, prothèses mammaires…

  • Discussion autour d’un « manquement grave »

  • « Placement à la naissance »

  • « Le code est le suivant pour récupérer les clés : **** »

  • Visite de l’HAS pour certification de la clinique

  • Comptes rendus, commentaires, modèle d'ordonnance…

  • Administratif, relation avec les patients… tout y passe

  • « "Couloir" des chirurgiens » et secret médical

  • La cybersécurité est l’affaire de tous

Fermer