Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

Imaginez un instant que des personnels soignants discutent de leurs patients, dossiers médicaux et pathologies dans un lieu public. Imaginez qu’ils y laissent traîner leurs documents, sans protection. C'est ce qui s'est produit, au sein d'une des équipes médicales d'un établissement privé, pendant 18 mois, jusqu'à ce que nous tirions la sonnette d'alarme. Ce n’est ni une cyberattaque ni un problème dans les services internes, mais un parfait exemple de Shadow IT.

Le 16 décembre 2024 à 12h13

Commentaires (30)

votre avatar
Faut vraiment faire attention au shadow IT qui a tendance à bien se développer en raison des règles de sécurité qui sont vues comme une énorme contrainte, et souvent déconnectées de l'opérationnel.

Donc, le problème n'est pas que d'un côté. C'est bien d'avoir un SI super sécurisé, mais s'il ne tient pas compte des contraintes opérationnelles, le shadow IT se développe très vite, et on ne peut pas reprocher aux utilisateurs de vouloir travailler.

C'est pour cela qu'il faut bien faire des CAB, de la sensibilisation, et surtout mettre dans la boucle décisionnelle des solutions possible à apporter au système d'information pour le sécuriser les équipes opérationnelles.
votre avatar
J'ai vu ça au boulot aussi, quand ça commence à bloquer ou compliquer le travail habituel des utilisateurs, ils ont tendance à chercher des solutions eux-mêmes pour regagner en efficacité sans prendre en compte les aspects sécurités et compagnie.

J'en suis aussi coupable d'ailleurs (Obsidian pour la prise de note) parce que le temps que la demande logiciel spécifique passe par toutes les moulinettes (étude de faisabilité, sécurité, réseau etc) t'es 6 mois plus tard.
votre avatar
C'est assez difficile à trouver cet équilibre car on parle bien d'un équilibre. Si la sécurité fait mal son travail en ne dialoguant pas avec les métier et qu'elle n'utilise pas de pédagogie alors les utilisateurs vont se retrouver dans ce cas d'usage et trouver des solutions à faire pâlir un mort.

Dans des petites structures c'est quand même plus simple à faire mais quand tu entres dans des grands groupes c'est beaucoup plus difficile et c'est souvent la rétorsion qui fonctionne mieux que la diplomatie (les ressources SSI étant souvent sous dimensionnées).
Si tu communique bien alors il ne faut pas hésiter à utiliser le fouet pour se faire entendre car quand c'est des enjeux de certifications, les conséquences sont très graves.
votre avatar
Merci Sébastien pour cet article et l'analyse complète. Je comprends mieux le teasing de vendredi :D
J'ai tout simplement été choqué quand je suis tombé sur ce Google Groups :eeek2:

Merci d'avoir fait le signalement à la clinique !

J'espère que ce cas servira d'exemple dans la profession...
votre avatar
Je n’y crois pas trop personnellement.
Est-ce que la clinique s’expose à des poursuites ? C’est tout de même très grave.
votre avatar
Si cela va aux oreilles de la certification et si cette dernière concerne l'aspect informatique (il y a des certif sur plein de trucs), la certification peut ne pas être renouvelé. Sans certification, la clinique ne peut plus avoir d' autorisation de faire des soins, ou bien plus sioux ne plus facturer aux caisses.
votre avatar
Merci pour les précisions !
votre avatar
Bonjour,

Nous utilisons cet outil pour échanger entre les médecins, les infirmières, les services sociaux, les kinés, les pharmaciens, etc…
https://www.globule.net/

C'est payé par l'ARS de Nouvelle Aquitaine.

À voir, cela peut-être utile à la Clinique.

Je suis sûr qu'il existe d'autres solutions logiciels sur le marché.
votre avatar
Intéressant, mais aussi pose plein de questions.

Je vais prendre sous l'angle du RGPD : la responsabilité de la clinique peut-elle être engagée ? Autrement dit, la clinique peut elle etre vu comme co-responsable de traitement ?

La première réponse, en première réflexion, est non. Ce n'est pas elle qui est à l'origine de ça.

En seconde réflexion, a priori, ça a été fait par des employés pour des employés. Si le mécanisme s'est mis en place, c'est sans doute à cause d'un besoin non satisfait (ou d'une manière loin d'être satisfaisante) des employés par les outils de la clinique. Mais bon, potentiellement, cela a pu être mis en place en violation complète du règlement intérieur et/ou de la charte informatique.

Délicate question, et il serait très intéressant que la CNIL se penche un peu la-dessus.

De plus, quels sont les risques encouru par les utilisateurs, et surtout par le responsable de traitement (ici, le "créateur" du groupe) ? D'un point de vue théorique, les sanctions prévues RGPD s'appliquent, même si c'est une personne physique (car en dehors d'un usage privé). Dans ce cas, l'amende basée sur le CA n'a pas de sens (ou alors on prend le salaire...). On atteint donc la limite de 20 millions d'€ en théorie ? La CNIL pourrait-elle alors mettre une amende à un salarié d'une entreprise ayant initié le shadow IT ?

Et un employé poursuivi par la CNIL pour manquement au RGPD dans le cadre de son activité pourrait-il se retrouver contre son employeur pour défaut de moyen suffisant pour exercer les missions qui lui sont confiés ?

Ce cas est très intéressant, car en plus d'être révélateur du danger du shadow IT, il soulève de nombreuses questions tant du point de vue des responsabilité que du point de vue juridique.
votre avatar
La clinique est responsable du traitement. Certes, elle n'était pas au courant, mais le traitement a été mis en place par des employés de la clinique, pour les employés de la clinique.

Absolument aucun doute que leur responsabilité peut être engagée.
votre avatar
Les choses ne sont pas aussi simple. Le responsable de traitement a une définition juridique bien précise (aliéna 7 article 4 du RGPD):
«responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
Il me parait difficile de décider des finalités d'un traitement alors même qu'on n'est pas au courant que le traitement existe.

Le RGPD ne parle pas du lien de subordination, ou, autrement dit, un employé. Que l'employé à l'origine du groupe soit considéré comme responsable de traitement, ça ne fait guère de doute. Que cette notion se retrouve de facto à l'entité qui l'emploie, c'est une autre vision à laquelle le RGPD seul ne répond pas.

Qui plus est, la réponse, si il en existe une, aura sans doute des éléments à prendre dans le règlement intérieur / charte informatique.
votre avatar
Comme tout les traitements, ses finalités sont déterminées par les salariés et autres représentants de la personne morale. Il n'empêche que la personne morale est nécessairement responsable du traitement.

Que les personnes concernées n'aient pas suivi les règles en vigueur au sein de leur institution, c'est une chose mais je ne vois pas en quoi ça jouerai dans la détermination du rôle de responsable de traitement.

Et ça serait même un peu facile, en ma qualité de DPO j'ai déjà croisé tout un tas de traitements plus que douteux, parfois créé avec la complaisance de la direction, parfois dans leur dos, mais dans tous les cas, il ne fait aucun doute que la personne morale est responsable du traitement et est responsable des conséquences, y compris financières, d'une violation du RGPD
votre avatar
Comme tout les traitements, ses finalités sont déterminées par les salariés et autres représentants de la personne morale
Attention tout de même. Un représentant n'est pas forcément salarié (exemple : chef d'entreprise TNS) et un salarié n'est pas forcément un représentant (= ayant autorité pour agir). Un représentant est censé être désigné pour pouvoir agir.
Que les personnes concernées n'aient pas suivi les règles en vigueur au sein de leur institution, c'est une chose mais je ne vois pas en quoi ça jouerai dans la détermination du rôle de responsable de traitement.
Parce qu'encore une fois, le responsable de traitement a une définition juridique bien précise dans le RGPD. Et il me parait fort difficile de déterminer la finalité d'un traitement (et encore moins les moyens !) alors qu'on ne sait même pas qu'il existe, et que la personne qui en est l'auteur n'est pas représentante du responsable de traitement.

Sauf à considérer que tout salarié est représentant de son employeur. Ce que je n'ai vu nul part jusqu'à présent et n'est pas présent dans les textes du RGPD.

Dans le cas présent, et après un peu plus de réflexion, la Clinique ici serait responsable, non pas en tant que responsable de traitement, mais en tant que victime d'une violation de données. Elle pourrait donc éventuellement être poursuivie pour des manquements quant à la sécurisation, mais pas pour le traitement.

C'est d'ailleurs le chemin qu'elle semble avoir pris en contactant la CNIL d'une part, et en voulant contacter les patients concernés d'autre part.
votre avatar
il me parait fort difficile de déterminer la finalité d'un traitement (et encore moins les moyens !) alors qu'on ne sait même pas qu'il existe
La personne morale (dont font partie les employés) sait bien qu'il existe ce traitement (puisque ce sont des employés qui l'ont mis en place et l'utilisent).
votre avatar
Clinifutur ... surement des visionnaires..

je ==>[]
votre avatar
[Mode coup de gueule ON]
Perso, je serais pour une méga-amende ultra dissuasive et affichée afin que celà serve de leçon et que la grande majorité des autres sociétés se bougent pour corriger celà. C'est grave bordel !
=> fouetté en publique > affiché > punition
Stop à la seule pédagogie, quand on voit la liste des mots de passe utilisés dans les sociétés, y-a vraiment de quoi se poser des questions légitimes sur les compétences des branlots aux manettes...
[Mode coup de gueule OFF]
votre avatar
J'ai eu le même ressenti quand j'ai parcouru ce groupe et vu l'ampleur et le type des données disponibles... Oui c'est très grave :cartonrouge: Punir, mais est-ce suffisant ?

Je ne sais pas s'il sera possible d'avoir des news sur la suite de ce dossier côté Cnil (j'en doute), mais maintenant la balle est du côté de la Cnil. Il faut que les différentes instances publiques travaillent ensemble. Cnil, HAS, ANSSI, [ajouter d'autres organismes ici ^^] et travailler ensemble, sur la sensibilisation, formation, les outils. C'est peut-être déjà le cas, ou pas, je ne sais pas.

Dans un monde de bisounours j'ose y croire, mais bon...

D'ailleurs, concernant les pharmacie et leurs adresses mails. Je viens de faire le test sur Mon Espace Santé, et l'envoi d'une ordonnance à une pharmacie.

Sur les 15 pharmacies de ma commune (92) seule une est éligible à l'envoi d'une ordonnance via l'Espace.
Les autres :
"Pharmacies indisponibles
Je ne peux pas contacter les pharmacies suivantes car elles ne disposent pas d’une messagerie sécurisée compatible avec Mon espace santé."
:craint:
votre avatar
Mouai mon espace santé c'est hebergé sur le health data hub de Microsoft == same shit!
votre avatar
Non. Mon Espace Santé (connu aussi sous le nom de DMP) est actuellement hébergé par Atos, en France, et ceci, depuis le début (soit début des années 2010).

Absolument pas par Microsoft.

Le Health Data Hub n'a rien à voir avec Mon Espace Santé.
votre avatar
Sur les 15 pharmacies de ma commune (92) seule une est éligible à l'envoi d'une ordonnance via l'Espace.
Les autres :
"Pharmacies indisponibles
Je ne peux pas contacter les pharmacies suivantes car elles ne disposent pas d’une messagerie sécurisée compatible avec Mon espace santé."
Je crois que dans mon offficine, mon chef a créé la boite MSS organisationnelle par accident. L'année dernière, j'avais fait un test à partir de mon espace santé. Nous avons re-découvert que 6 mois plus tard, cette messagerie organisationnelle et mon message envoyé.

Je crois qu'elles sont gérées par les ARS.
L'information est très succinte sur le site de l'Ordre des pharmaciens:
https://www.ordre.pharmacien.fr/les-communications/focus-sur/les-actualites/l-envoi-d-ordonnances-via-mon-espace-sante
Il manque clairement une campagne de communicatiion conjointe de l'Ordre des Pharmaciens et des différents ARS auprès des pharmaciens titulaires pour activer et utiliser ces messageries organisationnelles.

Sauf erreur, les offcines du 92 devrait faire les démarches via ces liens:
https://www.sesan.fr/services/mss
https://www.urps-pharmaciens-idf.fr/activez-votre-boite-aux-lettres-organisationnelle/

Si tu connais des pharmaciens du 92, pourquoi ne pas leur en parler??
votre avatar
J'espère que la clinique se fera bien sanctionnée par la CNIL (même si ça reste peu probable). L'erreur de bonne foi ne peut pas tout excuser.

Mais le problème de base est que les gens ne savent pas se servir de l'outil informatique, et ne comprennent pas ce qu'ils voient à l'écran. Je sors d'une visite chez mon médecin traitant, à qui on a installé un nouveau logiciel de suivi des patients. Vu qu'il était paumé et ne savait pas remplir mon dossier, il a appelé devant moi l'assistance technique. Un opérateur a pris la main sur la machine (et a donc accédé à ma fiche médicale, pourtant confidentielle...). Et là mon médecin dit "ya un sablier qui tourne, c'est quoi ?!". Il a 55-60 ans, et vu son discours il utilise ce logiciel contre son gré.
votre avatar
Ouais, la technologie évolue et prend de plus en plus de place mais les compétences de certaines personnes ne suivent pas...
On en arrive à des scénarios comme celui de l'article ou de votre commentaire :frown:
votre avatar
Est-ce que vous pourriez enquêter sur les raisons de ce groupe public (je ne suis pas très familier avec les capacités de l'outil) ? Pourquoi y ont-ils eu recours. C'était une vraie plateforme de travail ou bien ils s'y échangeaient parfois des documents ponctuellement ?
Les détails étaient croustillants mais je ne comprends pas trop comment ils en sont arrivés là.
Un prochain article @SébastienGavois ?


Et sinon dans mon boulot (grand groupe), on ne peut plus copier sur USB alors on trouve souvent des magouilles genre cloud perso. C'est con, car juste pour transférer des fichiers sur un PC labo hors IT on les sort du réseau. Les exceptions USB sont possibles mais à peu près du niveau administratif d'une demande d’azile je pense. A renouveler très souvent aussi.
votre avatar
C'est indiqué dans l'article :
Le tout premier message expliquait que ce groupe avait pour but de simplifier les « conversations internes », notamment vis-à-vis d’autres établissements du groupe de santé Clinifutur.
Ce n'est pas une plateforme de travail en soi, c'est un groupe de discussions, c'est comme une liste de diffusion/distribution.
votre avatar
OK mais ça remplaçait un outil ? Le complétait ? Je suis loin du monde médical mais j'imagine qu'il y avait un vrai système si on parle de Shadow IT.

Et tout était public, mais il n'y a pas d'échanges privés dans une clinique ?

En fait je n'ai pas trop compris comment ils fonctionnaient et comment ils devaient fonctionner.
votre avatar
Ah, l'utilisation d'outils non validés par le département IT!
J'ai adoré l'engouement pour Prezi il y a quelques années. Avec un compte gratuit, toutes les présentations créées étaient publiques. Et comme il y avait toujours bien un c*n pour vouloir impressionner son patron, c'est fou ce ce qu'on pouvait y trouver. Quand je m'en suis rendu compte, j'ai contacté le département IT de ma boîte pour qu'ils bloquent l' accès au site pour éviter les fuites. Il y avait déjà des infos de notre boîte dessus qui n'auraient pas dû s'y trouver, mais rien de bien grave.
Par contre , chez un de nos concurrents principaux, il y avait quelqu'un à la stratégie qui avait l'air vraiment motivé à l'idée d'impressionner le board. Tous les comptes et les plans d'expansion pour une large zone géographique étaient détaillés, chiffres à l'appui, dans des présentations qui frimaient un max! Trouvables par n'importe qui sur le site de Prezi juste en cherchant "NomDeLaBoite"+ "Confidentiel" 😁

Allez, si vous avez du temps à perdre, il y a de quoi s'amuser...

https://prezi.com/explore/search/?search=Confidentiel
votre avatar
Impressionnant, merci pour le partage !

En effet, en cherchant juste sur "confidentiel", on tombe assez vite sur des pépites !
Ta boite ne serait pas dans les produits pétroliers, par hasard ? Parce qu'avec le mot-clé "confidentiel", je suis tombé sur une prez qui correspond étrangement à l'exemple que tu cites ! :D

Par curiosité, j'ai regardé pour ma boîte (multinationale de +100.000 salariés), et à vue de nez, il y a surtout des supports de soutenance de stage et d'alternance (avec les noms de tuteurs / responsables / collègues en passant...).
Mais en bonus, quelques présentations de comm' interne, et même une qui mentionne la direction SSI de la boîte, il y a vraiment des baffes qui se perdent !

C'est sûr, c'est plus sexy que PowerPoint, mais il suffit de lire les 10 premières lignes des conditions pour lire que Prezi a tous les droits sur les données, y compris de les mettre à dispo en public :windu:
votre avatar
Non, à l'époque, j'étais dans une boîte de matériaux e de construction en Asie. Mais la connerie n'a pas de frontières :D
votre avatar
Et en bonus, une petite prez' du RGPD !!! :roule:
votre avatar
Merci. Je suis allé faire un tour pour voir ce qu'on pouvait trouver sur mon employeur.
Effectivement, surtout des rapports de stage.
J'en ai parcouru une en détail : purée, ça donne mal à la tête ces zoos avant et arrière ...

Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

  • Le retour des Google Groupes mal configurés

  • 18 mois de conversations et de données médicales sur Internet

  • Shadow IT au rapport

  • Dossiers médicaux, patients récusés, prothèses mammaires…

  • Discussion autour d’un « manquement grave »

  • « Placement à la naissance »

  • « Le code est le suivant pour récupérer les clés : **** »

  • Visite de l’HAS pour certification de la clinique

  • Comptes rendus, commentaires, modèle d'ordonnance…

  • Administratif, relation avec les patients… tout y passe

  • « "Couloir" des chirurgiens » et secret médical

  • La cybersécurité est l’affaire de tous

Fermer