Nouveau dossier médical électronique valaisan: la protection du patient bradée!

Pour le Parti Pirate il est inacceptable de transiger avec les éléments fondamentaux de la sécurité des informations du patient

medecin-dossier-medicalLe Parti Pirate est très inquiet pour la protection de la sphère privée des patients accédant à leur dossier électronique via Internet suite à des constatations faites concernant la sécurité. Avec de simples outils, accessible au grand public, le Parti Pirate a pu obtenir une série d’informations permettant de mettre en évidence de graves dysfonctionnements en matière de sécurité informatique autour des plateformes valaisannes et genevoises.

Pour Guillaume Saouli, Co-Président du PPS « La gabegie qui règne autour de la mise en oeuvre du dossier patient met en péril la sphère privée des patients. A l’heure actuelle, au regard de l’actualité internationale et des scandales informatiques abondants, la base de confiance nécessaire à l’utilisation d’un dossier patient électronique généralisé ne peut pas voir le jour. » 
Bien que la loi fédérale sur le dossier électronique du patient (LDEP) ait été votée, ses effets ne pourront pas être appliqués avant plusieurs mois. Les normes et les standards de sécurité sont en constante évolution. Le projet ainsi que la loi sont déjà dépassés et leur adaptation est impérative. Il n’est pas acceptable que des lacunes portant atteintes à la sphère privée des patients puissent apparaitre sur une toute nouvelle plateforme, alors que ces dernières ont été identifiées voilà plusieurs mois, voir même plusieurs années.
Cette affaire doit être l’occasion d’une réecriture de la loi afin d’y inscrire la reconnaissance de l’intègrité numérique des individus, de l’inaliénabilité des données médicales et, plus largement, personnelles, ainsi que des clauses pénales pour les cas de gestion manifestement mauvaise des outils et des données mettant en péril la protection des patients.
A la vue de ce qui précède, le Parti Pirate Suisse et ses sections genevoises et valaisannes demandent respectivement aux préposés à la protection des deux cantons concernés, ainsi qu’au préposé fédéral à la protection des données et de la transparence d’obtenir des éclaircissements quant à la sécurité et aux modalités de traitement des données des dossiers électroniques du patient, ainsi qu’en ce qui concerne la future ordonnance liée à la LDEP:

Copie de la lettre envoyée ce jour au préposé valaisan à la protection des données et la transparence:

Cher Monsieur le Préposé,
Par la présente nous désirons vous soumettre de manière urgente les éléments suivants concernant le dossier électronique du patient. En effet, il apparait que des manquements graves à la sécurité informatique et de la protection de la sphère privée de la nouvelle plateforme valaisane du dossier électronique du patient nous furent rapportés ces derniers jours sur la base de données publics.
À l'aide des outils de Qualys (évaluateur de sécurité SSL) et de l'EFF (privacy badger), il apparait que le site cantonal du dossier
électronique du patient de votre canton n'offre pas les niveaux requis de sécurité et de protection de la sphère privée pour permettre un usage
régulier d'une plateforme d'une telle sensibilité.
Afin de permettre d'établir plus précisément l'étendue de la problématique, nous désirons obtenir des clarifications liées à l'accès de cette plateforme, les données du patients, leur sécurisation tant au niveau technique, qu'opérationnel et organisationnel en particulier ce qui suit:
1. Préciser, en les identifiant, quelles sont les données personnelles, notamment les données sensibles, ainsi que les différents éléments du dossier liés au contenu et aux accès, qui sont capturés afin d'être transmis à des tiers; qui en sont les destinataires, le lieu de stockage, la durée de rétention, et quels sont les processus liés à ces données. Plus particulièrement, de quelle façon la protection des données et de la sphère privée du patient est-elle affectée par la transmission des éléments susmentionnés ?
2. Préciser dans quelle mesure et suivant quelles modalités les fonctionnalités précitées, respectivement leur mise à disposition, permettent le profilage d'utilisateurs et de tiers, et de quelle façon ces profils sont produits, transmis, et stockés ;
4. Préciser si l'utilisateur est informé suffisamment clairement, de manière compréhensible et en temps opportun sur le traitement des données et de leur transmission dans le cadre des fonctionnalités mentionnées ci-dessus :
5. Sachant que l'évaluation des mesures de protection des liens internet ont mis en évidence des défauts graves, permettant des attaques d'interception (MITM), de quelle façon la sécurité du dossier patient est-elle préservée ? Le cas échéant, quelles sont les procédures de sauvegarde mises en place afin de protéger la sphère privée des patients ?
5. Clarifier quels sont les traitements et transmissions de données à caractère personnel nécessaires au traitement du dossier patient
respectivement lesquels sont réellement nécessaires à l'utilisation des fonctionnalités susmentionnées ;
6. Préciser de quelle manière la sécurité des données au cours du stockage et du traitement est assurée? Quelles sont les mesures organisationnelles prises pour assurer cela ?
7. Déterminer si les traitements et les procédures liées aux données des patients sont effectués par des personnes respectant les obligations légales du maintien du secret. Quelles sont les mesures organisationnelles prises afin de s'assurer que tel est le cas ?
8. Suite aux clarifications susmentionnées ci-dessus, le cas échéant, exiger de l'éditeur et des opérateurs qu'ils entreprennent les actions nécessaires afin de remédier aux déficiences identifiées dans leurs produits et services.
9. Faire des recommandations d'usage aux utilisateurs afin d'améliorer la protection des données et de la sphère privée
10. A partir de ces travaux, le cas échéant, apporter au législateur des propositions afin d'améliorer la protection des données du dossier électronique du patient en Suisse.
11. de publier les résultats des investigations du présent cas, les recommandations et les propositions d'amélioration du cadre législatif de la protection de données et de la sphère privée.
En raison de l'impact important de cette affaire, touchant directement l'ensemble de la population en Suisse, il nous parait indispensable que les éclaircissements ne puissent souffrir d'aucun délai. En outre, il est également attendu que les recommandations issues de votre l'investigation puissent, après avoir été communiqués aux intégrateurs, éditeurs et producteurs, être appliquées rigoureusement. Le cas échéant, votre intervention doit permettre l'évolution de la future législation (LDEP), et de son application.
Dans l'attente de votre réponse, nous vous prions d'agréer, Monsieur, nos respectueuses salutations,
Guillaume Saouli                                           Jérémie Constantin
Co-Président - Parti Pirate Suisse                         Co-Président - Parti Pirate Valaisan