Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

Imaginez un instant que des personnels soignants discutent de leurs patients, dossiers médicaux et pathologies dans un lieu public. Imaginez qu’ils y laissent traîner leurs documents, sans protection. C'est ce qui s'est produit, au sein d'une des équipes médicales d'un établissement privé, pendant 18 mois, jusqu'à ce que nous tirions la sonnette d'alarme. Ce n’est ni une cyberattaque ni un problème dans les services internes, mais un parfait exemple de Shadow IT.

Le 16 décembre à 12h13

La semaine dernière, nous évoquions le cas des pharmacies qui demandent à leurs clients d’envoyer leurs ordonnances sur des messageries… Gmail ou Hotmail. Une pratique qui soulève des questions quant à la confidentialité des données (qui plus est de santé) se retrouvant sur des serveurs américains et donc soumises au Cloud Act.

Le retour des Google Groupes mal configurés

Mais il y a pire, bien pire sur les Google Groupes… On en parlait il y a deux ans : une mauvaise configuration peut laisser l’ensemble des conversations d’un groupe accessibles à tout le monde. Nous avions, par exemple, trouvé des listes de parents d’élèves avec leurs coordonnées, une convocation à un conseil de discipline d’une personne arrivée alcoolisée et très en retard sur son lieu de travail, etc. Autant de données sensibles qui devraient rester confidentielles.

Aujourd’hui, les deux sujets, données de santé et Google Groupes, se rejoignent. Nous avons pu consulter un groupe de discussion mis en place par l'une des équipes d’une clinique du groupe de santé Clinifutur. Les conversations du groupe sont restées accessibles pendant 18 mois, alors qu'elles contenaient de nombreux échanges à caractère médical et des donnés de santé qui auraient dû rester confidentielles.

18 mois de conversations et de données médicales sur Internet

Aware2, lecteur de Next, nous a signalé ce groupe et nous avons dès le lendemain matin contacté la clinique, via leur formulaire de contact et avec un appel téléphonique dans la foulée. Face à la gravité de la situation, nous voulions être certain que notre message soit bien entendu afin que le nécessaire soit fait le plus vite possible.

Dans notre message, nous avons également donné des explications sur la manière de limiter rapidement les dégâts, en quelques clics via les paramètres de confidentialité du Groupe. En effet, une première action rapide à mettre en place devait être de limiter la visibilité du groupe (qui était alors visible par « tous les internautes »).

D’après nos constatations, l’accès à tous a été coupé le jour même à 12h12, soit trois heures après notre signalement. Nous nous sommes entretenus avec le service communication de la clinique dans l’après-midi. Il nous a remercié pour le signalement (remerciements que nous transmettons à Aware2) et nous a confirmé avoir fait le nécessaire pour couper les accès au plus vite.

La clinique nous indique qu'elle a contacté la CNIL et qu’elle va se conformer aux demandes et recommandations qui lui seront faites par la Commission. Elle affirme en outre que les patients mentionnés dans les publications de ce Google Groupe, dont les données personnelles ont donc été accessibles, seront contactés individuellement.

Pour fermer les vannes, il fallait trouver la personne dont le compte était à l’origine de la création du Google Groupe afin qu’il fasse les changements nécessaires. Avant d’être coupé, le Groupe comptait 775 conversations, la première remontait au 26 mai 2023 et la dernière le vendredi 13 au matin (6h58), soit 2 h avant notre signalement.

Il reste 72% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (24)

votre avatar
Faut vraiment faire attention au shadow IT qui a tendance à bien se développer en raison des règles de sécurité qui sont vues comme une énorme contrainte, et souvent déconnectées de l'opérationnel.

Donc, le problème n'est pas que d'un côté. C'est bien d'avoir un SI super sécurisé, mais s'il ne tient pas compte des contraintes opérationnelles, le shadow IT se développe très vite, et on ne peut pas reprocher aux utilisateurs de vouloir travailler.

C'est pour cela qu'il faut bien faire des CAB, de la sensibilisation, et surtout mettre dans la boucle décisionnelle des solutions possible à apporter au système d'information pour le sécuriser les équipes opérationnelles.
votre avatar
J'ai vu ça au boulot aussi, quand ça commence à bloquer ou compliquer le travail habituel des utilisateurs, ils ont tendance à chercher des solutions eux-mêmes pour regagner en efficacité sans prendre en compte les aspects sécurités et compagnie.

J'en suis aussi coupable d'ailleurs (Obsidian pour la prise de note) parce que le temps que la demande logiciel spécifique passe par toutes les moulinettes (étude de faisabilité, sécurité, réseau etc) t'es 6 mois plus tard.
votre avatar
C'est assez difficile à trouver cet équilibre car on parle bien d'un équilibre. Si la sécurité fait mal son travail en ne dialoguant pas avec les métier et qu'elle n'utilise pas de pédagogie alors les utilisateurs vont se retrouver dans ce cas d'usage et trouver des solutions à faire pâlir un mort.

Dans des petites structures c'est quand même plus simple à faire mais quand tu entres dans des grands groupes c'est beaucoup plus difficile et c'est souvent la rétorsion qui fonctionne mieux que la diplomatie (les ressources SSI étant souvent sous dimensionnées).
Si tu communique bien alors il ne faut pas hésiter à utiliser le fouet pour se faire entendre car quand c'est des enjeux de certifications, les conséquences sont très graves.
votre avatar
Merci Sébastien pour cet article et l'analyse complète. Je comprends mieux le teasing de vendredi :D
J'ai tout simplement été choqué quand je suis tombé sur ce Google Groups :eeek2:

Merci d'avoir fait le signalement à la clinique !

J'espère que ce cas servira d'exemple dans la profession...
votre avatar
Je n’y crois pas trop personnellement.
Est-ce que la clinique s’expose à des poursuites ? C’est tout de même très grave.
votre avatar
Si cela va aux oreilles de la certification et si cette dernière concerne l'aspect informatique (il y a des certif sur plein de trucs), la certification peut ne pas être renouvelé. Sans certification, la clinique ne peut plus avoir d' autorisation de faire des soins, ou bien plus sioux ne plus facturer aux caisses.
votre avatar
Merci pour les précisions !
votre avatar
Bonjour,

Nous utilisons cet outil pour échanger entre les médecins, les infirmières, les services sociaux, les kinés, les pharmaciens, etc…
https://www.globule.net/

C'est payé par l'ARS de Nouvelle Aquitaine.

À voir, cela peut-être utile à la Clinique.

Je suis sûr qu'il existe d'autres solutions logiciels sur le marché.
votre avatar
Intéressant, mais aussi pose plein de questions.

Je vais prendre sous l'angle du RGPD : la responsabilité de la clinique peut-elle être engagée ? Autrement dit, la clinique peut elle etre vu comme co-responsable de traitement ?

La première réponse, en première réflexion, est non. Ce n'est pas elle qui est à l'origine de ça.

En seconde réflexion, a priori, ça a été fait par des employés pour des employés. Si le mécanisme s'est mis en place, c'est sans doute à cause d'un besoin non satisfait (ou d'une manière loin d'être satisfaisante) des employés par les outils de la clinique. Mais bon, potentiellement, cela a pu être mis en place en violation complète du règlement intérieur et/ou de la charte informatique.

Délicate question, et il serait très intéressant que la CNIL se penche un peu la-dessus.

De plus, quels sont les risques encouru par les utilisateurs, et surtout par le responsable de traitement (ici, le "créateur" du groupe) ? D'un point de vue théorique, les sanctions prévues RGPD s'appliquent, même si c'est une personne physique (car en dehors d'un usage privé). Dans ce cas, l'amende basée sur le CA n'a pas de sens (ou alors on prend le salaire...). On atteint donc la limite de 20 millions d'€ en théorie ? La CNIL pourrait-elle alors mettre une amende à un salarié d'une entreprise ayant initié le shadow IT ?

Et un employé poursuivi par la CNIL pour manquement au RGPD dans le cadre de son activité pourrait-il se retrouver contre son employeur pour défaut de moyen suffisant pour exercer les missions qui lui sont confiés ?

Ce cas est très intéressant, car en plus d'être révélateur du danger du shadow IT, il soulève de nombreuses questions tant du point de vue des responsabilité que du point de vue juridique.
votre avatar
La clinique est responsable du traitement. Certes, elle n'était pas au courant, mais le traitement a été mis en place par des employés de la clinique, pour les employés de la clinique.

Absolument aucun doute que leur responsabilité peut être engagée.
votre avatar
Les choses ne sont pas aussi simple. Le responsable de traitement a une définition juridique bien précise (aliéna 7 article 4 du RGPD):
«responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
Il me parait difficile de décider des finalités d'un traitement alors même qu'on n'est pas au courant que le traitement existe.

Le RGPD ne parle pas du lien de subordination, ou, autrement dit, un employé. Que l'employé à l'origine du groupe soit considéré comme responsable de traitement, ça ne fait guère de doute. Que cette notion se retrouve de facto à l'entité qui l'emploie, c'est une autre vision à laquelle le RGPD seul ne répond pas.

Qui plus est, la réponse, si il en existe une, aura sans doute des éléments à prendre dans le règlement intérieur / charte informatique.
votre avatar
Comme tout les traitements, ses finalités sont déterminées par les salariés et autres représentants de la personne morale. Il n'empêche que la personne morale est nécessairement responsable du traitement.

Que les personnes concernées n'aient pas suivi les règles en vigueur au sein de leur institution, c'est une chose mais je ne vois pas en quoi ça jouerai dans la détermination du rôle de responsable de traitement.

Et ça serait même un peu facile, en ma qualité de DPO j'ai déjà croisé tout un tas de traitements plus que douteux, parfois créé avec la complaisance de la direction, parfois dans leur dos, mais dans tous les cas, il ne fait aucun doute que la personne morale est responsable du traitement et est responsable des conséquences, y compris financières, d'une violation du RGPD
votre avatar
Comme tout les traitements, ses finalités sont déterminées par les salariés et autres représentants de la personne morale
Attention tout de même. Un représentant n'est pas forcément salarié (exemple : chef d'entreprise TNS) et un salarié n'est pas forcément un représentant (= ayant autorité pour agir). Un représentant est censé être désigné pour pouvoir agir.
Que les personnes concernées n'aient pas suivi les règles en vigueur au sein de leur institution, c'est une chose mais je ne vois pas en quoi ça jouerai dans la détermination du rôle de responsable de traitement.
Parce qu'encore une fois, le responsable de traitement a une définition juridique bien précise dans le RGPD. Et il me parait fort difficile de déterminer la finalité d'un traitement (et encore moins les moyens !) alors qu'on ne sait même pas qu'il existe, et que la personne qui en est l'auteur n'est pas représentante du responsable de traitement.

Sauf à considérer que tout salarié est représentant de son employeur. Ce que je n'ai vu nul part jusqu'à présent et n'est pas présent dans les textes du RGPD.

Dans le cas présent, et après un peu plus de réflexion, la Clinique ici serait responsable, non pas en tant que responsable de traitement, mais en tant que victime d'une violation de données. Elle pourrait donc éventuellement être poursuivie pour des manquements quant à la sécurisation, mais pas pour le traitement.

C'est d'ailleurs le chemin qu'elle semble avoir pris en contactant la CNIL d'une part, et en voulant contacter les patients concernés d'autre part.
votre avatar
il me parait fort difficile de déterminer la finalité d'un traitement (et encore moins les moyens !) alors qu'on ne sait même pas qu'il existe
La personne morale (dont font partie les employés) sait bien qu'il existe ce traitement (puisque ce sont des employés qui l'ont mis en place et l'utilisent).
votre avatar
Clinifutur ... surement des visionnaires..

je ==>[]
votre avatar
[Mode coup de gueule ON]
Perso, je serais pour une méga-amende ultra dissuasive et affichée afin que celà serve de leçon et que la grande majorité des autres sociétés se bougent pour corriger celà. C'est grave bordel !
=> fouetté en publique > affiché > punition
Stop à la seule pédagogie, quand on voit la liste des mots de passe utilisés dans les sociétés, y-a vraiment de quoi se poser des questions légitimes sur les compétences des branlots aux manettes...
[Mode coup de gueule OFF]
votre avatar
J'ai eu le même ressenti quand j'ai parcouru ce groupe et vu l'ampleur et le type des données disponibles... Oui c'est très grave :cartonrouge: Punir, mais est-ce suffisant ?

Je ne sais pas s'il sera possible d'avoir des news sur la suite de ce dossier côté Cnil (j'en doute), mais maintenant la balle est du côté de la Cnil. Il faut que les différentes instances publiques travaillent ensemble. Cnil, HAS, ANSSI, [ajouter d'autres organismes ici ^^] et travailler ensemble, sur la sensibilisation, formation, les outils. C'est peut-être déjà le cas, ou pas, je ne sais pas.

Dans un monde de bisounours j'ose y croire, mais bon...

D'ailleurs, concernant les pharmacie et leurs adresses mails. Je viens de faire le test sur Mon Espace Santé, et l'envoi d'une ordonnance à une pharmacie.

Sur les 15 pharmacies de ma commune (92) seule une est éligible à l'envoi d'une ordonnance via l'Espace.
Les autres :
"Pharmacies indisponibles
Je ne peux pas contacter les pharmacies suivantes car elles ne disposent pas d’une messagerie sécurisée compatible avec Mon espace santé."
:craint:
votre avatar
Mouai mon espace santé c'est hebergé sur le health data hub de Microsoft == same shit!
votre avatar
Non. Mon Espace Santé (connu aussi sous le nom de DMP) est actuellement hébergé par Atos, en France, et ceci, depuis le début (soit début des années 2010).

Absolument pas par Microsoft.

Le Health Data Hub n'a rien à voir avec Mon Espace Santé.
votre avatar
J'espère que la clinique se fera bien sanctionnée par la CNIL (même si ça reste peu probable). L'erreur de bonne foi ne peut pas tout excuser.

Mais le problème de base est que les gens ne savent pas se servir de l'outil informatique, et ne comprennent pas ce qu'ils voient à l'écran. Je sors d'une visite chez mon médecin traitant, à qui on a installé un nouveau logiciel de suivi des patients. Vu qu'il était paumé et ne savait pas remplir mon dossier, il a appelé devant moi l'assistance technique. Un opérateur a pris la main sur la machine (et a donc accédé à ma fiche médicale, pourtant confidentielle...). Et là mon médecin dit "ya un sablier qui tourne, c'est quoi ?!". Il a 55-60 ans, et vu son discours il utilise ce logiciel contre son gré.
votre avatar
Ouais, la technologie évolue et prend de plus en plus de place mais les compétences de certaines personnes ne suivent pas...
On en arrive à des scénarios comme celui de l'article ou de votre commentaire :frown:
votre avatar
Est-ce que vous pourriez enquêter sur les raisons de ce groupe public (je ne suis pas très familier avec les capacités de l'outil) ? Pourquoi y ont-ils eu recours. C'était une vraie plateforme de travail ou bien ils s'y échangeaient parfois des documents ponctuellement ?
Les détails étaient croustillants mais je ne comprends pas trop comment ils en sont arrivés là.
Un prochain article @SébastienGavois ?


Et sinon dans mon boulot (grand groupe), on ne peut plus copier sur USB alors on trouve souvent des magouilles genre cloud perso. C'est con, car juste pour transférer des fichiers sur un PC labo hors IT on les sort du réseau. Les exceptions USB sont possibles mais à peu près du niveau administratif d'une demande d’azile je pense. A renouveler très souvent aussi.
votre avatar
C'est indiqué dans l'article :
Le tout premier message expliquait que ce groupe avait pour but de simplifier les « conversations internes », notamment vis-à-vis d’autres établissements du groupe de santé Clinifutur.
Ce n'est pas une plateforme de travail en soi, c'est un groupe de discussions, c'est comme une liste de diffusion/distribution.
votre avatar
Ah, l'utilisation d'outils non validés par le département IT!
J'ai adoré l'engouement pour Prezi il y a quelques années. Avec un compte gratuit, toutes les présentations créées étaient publiques. Et comme il y avait toujours bien un c*n pour vouloir impressionner son patron, c'est fou ce ce qu'on pouvait y trouver. Quand je m'en suis rendu compte, j'ai contacté le département IT de ma boîte pour qu'ils bloquent l' accès au site pour éviter les fuites. Il y avait déjà des infos de notre boîte dessus qui n'auraient pas dû s'y trouver, mais rien de bien grave.
Par contre , chez un de nos concurrents principaux, il y avait quelqu'un à la stratégie qui avait l'air vraiment motivé à l'idée d'impressionner le board. Tous les comptes et les plans d'expansion pour une large zone géographique étaient détaillés, chiffres à l'appui, dans des présentations qui frimaient un max! Trouvables par n'importe qui sur le site de Prezi juste en cherchant "NomDeLaBoite"+ "Confidentiel" 😁

Allez, si vous avez du temps à perdre, il y a de quoi s'amuser...

https://prezi.com/explore/search/?search=Confidentiel

Pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes

  • Le retour des Google Groupes mal configurés

  • 18 mois de conversations et de données médicales sur Internet

  • Shadow IT au rapport

  • Dossiers médicaux, patients récusés, prothèses mammaires…

  • Discussion autour d’un « manquement grave »

  • « Placement à la naissance »

  • « Le code est le suivant pour récupérer les clés : **** »

  • Visite de l’HAS pour certification de la clinique

  • Comptes rendus, commentaires, modèle d'ordonnance…

  • Administratif, relation avec les patients… tout y passe

  • « "Couloir" des chirurgiens » et secret médical

  • La cybersécurité est l’affaire de tous

Fermer