La cyberattaque qui a frappé MonLogicielMedical, logiciel de Cegedim Santé utilisé par des milliers de médecins français, expose des données d’une sensibilité rare. Entre 11 et 15 millions de patients seraient concernés.
Le secret médical à l’ère du numérique et surtout du « cloud »…
1 « J'aime »
Ce commentaire a pu contenir, pour un nombre très limité de patients, des annotations personnelles du médecin concernant des informations sensibles. Les dossiers médicaux structurés des patients sont restés intègres.
(edit: c’est moi qui souligne)
Dommage que ce soit passé à la trappe dans l’article.
2 « J'aime »
@Hanandano
pourtant l’information est bien reprise :
« Mais le vrai problème se niche ailleurs, dans un champ « commentaire administratif » laissé en texte libre à la discrétion de chaque médecin.
On y trouve des annotations […] comme des informations de contexte »
« l’entreprise s’empresse de préciser que les dossiers médicaux structurés des patients sont, eux, restés intègres »
Bon parce que apparemment c’est nécessaire ^^ et que j’ai pas été suffisamment clair (mon mauvais)
[…] pour un nombre très limité de patients […]
et la suite de l’article
Pour des millions de Français qui n’ont toujours rien su, la question n’est plus vraiment technique. Elle est intime. Ce que leur médecin a un jour griffonné dans une case, quelque part entre deux consultations, se balade peut-être en ce moment même sur les serveurs de parfaits inconnus.
c’est moi qui souligne.
2 « J'aime »
Un extrait du serment d’Hippocrate « Quoi que je voie ou entende dans la société pendant, ou même hors de l’exercice de ma profession, je tairai ce qui n’a jamais besoin d’être divulgué, regardant la discrétion comme un devoir en pareil cas. »
On en est très loin il faudrait porter plainte et déclencher une action de groupe.
1 « J'aime »
Pars devant on te regarde.
Effectivement, la loi interdit tout fichage non ? Là, cest ce que font les médecins.
Donc tous ceux qui on fiché leurs patients dans le petit cadre devraient être poursuivis et punis pour transgression à cette loi.
Ce sont ceux en qui vous avez confiance qui vous fichent 
1 « J'aime »
Ceux en qui tu n’as pas confiance n’ont pas de données à ficher…
Je suis doublement perplexe: que la CNIL n’ait pas souligné et audité ce champ, ayant vécu cela dans une autre vie il y a près de 20 ans déjà: des vendeurs avaient noté ‹ cancer ›, ‹ végétarien ›, ‹ ne mange pas de porc › pour des raisons importantes à leurs yeux: ne pas appeler à des heures trop tôt ou trop tard, et ne pas proposer de produit inadapté.
Résultat: mise en demeure de la CNIL y compris pour données religieuses (alors qu’il y a plein de raisons de ne pas manger de porc).
Donc: plus jamais de champ texte libre dans les logiciels. C’est de toutes façons toujours détourné.
Le deuxième point: je pense que comme les vendeurs, les médecins ont pour la plupart une chose en tête: noter les informations importantes. Bien sûr, dans l’article on nous déballe les trucs les plus gras, hors contexte. Mais savoir que quelqu’un fait un régime est important par exemple, ou qu’il a eu un accident du travail, ou un divorce / n chômage quand le patient est déprimé…
1 « J'aime »
un nombre très limité, sur 15 millions de dossiers, ça doit fait déjà beaucoup (trop)…
1 « J'aime »
Il faut bien faire la distinction entre une information qui peut être pertinente sur le plan médical et une information qui n’apporte qu’un risque de stigmatisation, sans rien apporter quant aux soins du patient. Noter qu’un patient ne mange pas de porc ou qu’il a telle ou telle orientation sexuelle est effectivement scandaleux car hors de propos sur le plan médical : il n’y a aucune justification médicale à noter ces informations dans un dossier. En revanche, certains informations qui sont ici présentés comme scandaleusement notées dans un dossier peuvent être très importantes : antécédent de violence physique, verbale, psychologique / violence conjugale, viol etc : c’est important pour la gestion psychologique du patient et la compréhension du dossier / proposer un accompagnement le plus adapté possible.
Ces données devraient être strictement confidentielles et parfaitement sécurisées. Elles ne doivent être accessibles qu’au médecin qui les note et seulement à celui-ci pour ainsi respecter le secret médical.
Pour mi il y a donc 2 problèmes dans cette affaire : le jugement et la stigmatisation de certains médecins envers certains de leurs patients avec une gestion de données intimes non pertinentes sur le plan médical et la sécurisation des données soumises au secret médical.
3 « J'aime »
La norme d’hébergement des données de santé (HDS) est une fumisterie franco-française unique au monde. En réalité, votre médecin n’a basolument pas le droit d’enregistrer quoi que ce soit sur le disque local de son ordinateur si il n’a pas été audité (à grands frais pendant plusieurs mois) par une boîte privée ! Par contre, votre médecin est en règle s’il enregistre tout sur le cloud Microsoft !
Aucun autre pays européen n’impose de telles règles.
1 « J'aime »
T’en sais rien. Moi non plus. On est loin des millions dont parle @AlexLex14 c’est ça l’information.
Après je ne peux pas plus souligner / expliquer si c’est pas clair je ne peux plus rien.
Après erreur, faute d’inattention ou désinformation c’est pas à moi de le dire. Mais je pense qu’on peut juste pencher pour l’erreur sincère dans le cas de clubic. Ils n’ont aucun intérêt à raconter n’importe quoi.
Je ne vois pas en quoi un disque dur en clair qui peut être subtilisé à n’importe quel moment est préférable à un cloud audité et normé ?
De toute façon poser ces problèmes ainsi de manière absolue ce n’est pas la bonne méthode. La question c’est qu’est ce qu’on essaie de prévenir et ce qu’on met en face comme solution.
Et juste pour info HDS c’est une certification . La norme c’est iso je sais plus quoi mais tu trouvera facilement.
1 « J'aime »
Tant que les Français (très nombreux) ne savent pas nommément qu’ils doivent se méfier, ils sont bien 11 à 15 millions à être potentiellement des victimes.
Lorsqu’on aura le chiffre précis (345 824 ou 1,245 million ou autre), on le donnera.
Le nier, c’est minimiser, et vu la gravité des informations, il ne convient plus de minimiser. Car en minimisant (pardon pour les répétitions), on ne fera jamais réagir les DSI et surtout les directions (d’entreprises, institutions, ministères) qui n’ont toujours pas pris conscience des risques, des dangers, et de l’obsolescence de certains de leurs process.
PS : faut que tu perdes l’habitude @Hanandano de systématiquement me cibler dans les commentaires, à terme, on part sur une forme de harcèlement, sous convert d’anonymat (anonymat tout relatif). Ma tête ne te revient pas, on l’a compris, mais au vu du commentaire bienveillant que tu as laissé sur un article qui n’est pas de moi sur Clubic (et j’en suis très heureux d’ailleurs, ça prouve que ton souci, il est avec moi), applique ce que tu reproches aux autres à toi-même. Arrivé à un moment, tu me fatigues et je vais totalement et définitivement t’ignorer, ce que j’ai bien commencé à faire d’ailleurs, parce que crois-moi, ta détestation à mon égard, c’est bien le cadet de mes soucis (et j’ai d’autres occupations). Mais pour t’éviter de gaspiller du temps pour moi (tu en gaspilles beaucoup depuis des mois à essayer de me dézinguer sans raison à tout-va), je préférais mettre les points sur les i.
Je termine avec ça :
Source : franceinfo ET le ministère de la Santé, qui évoquent hier encore le chiffre de « 15 millions ». T’es aussi allé leur dire avec toute ta science qu’ils ont dit des conneries j’espère hein 
Allez, salut !
@Hanando soulignait que la rédaction de l’article tend à faire croire que 15M de patients ont des données très intimes dans le champs de commentaires, ce qui n’est plus que certainement pas le cas.
Je trouve ça remarque pertinente et la réponse plutôt déplacée.
Après, je ne pense pas que la rédac de Clubic soit la pire, mais je suis sûr que ce n’ est pas la meilleure. Et de loin. Donc pas surpris d’une telle réaction sur un article décrivant un incident sur un ton qui tend franchement sur le sensationnalisme.
PS: je parcours Clubic non pas pour m’informer, j’utilise d’autres médias pour ça, mais pour être au courant des sujets potentiellement intéressants qui seront traités vaguement et de travers dans les médias mainstrea, construisant les désinformations et ‹ on dit › du moment.
Voilà, je ne suis pas anonyme et je vous dis clairement ce que je pense.
3 « J'aime »
Bonjour, vous allez bien ?
Non il n’a pas à noter ce type de remarque dans un dossier de santé lisible par d’autre personnes que lui même.
Non il n’a pas à noter ce type de remarque dans un dossier de santé lisible par d’autre personnes que lui même.
Je ne sais pas si ce champ est partagé avec d’autres (médecins, secrétaires …). Je ne connais pas le logiciel. Et aucun logiciel de médecin d’ailleurs.
Par contre j’ai une bonne expérience des logiciels de suivi de relation.
Si c’est partagé avec d’autres médecins, certaines remarques peuvent être justifiées (tout dépend de ce qu’on peut stocker ailleurs).
Techniquement, indiquer que la personne est en cours de régularisation et nécessite un traitement administratif particulier peut être intéressant et légitime, mais cela porte indirectement la notion « étranger ».
De même: indiquer quelque part que la personne se fait de l’auto-médication, ou un soupçon de Munchausen ou un doute sur l’origine d’un bleu me paraît légitime la suite.
Je ne sais pas quelle est la taille de la patientèle d’un médecin, mais je sais combien de patient peu avoir un petit cabinet de 3 ophtalmo (20000).
Donc noter est plus qu’important.
C’est le GROS risque des champs textes libres: c’est le fourre-tout, utilisé à bon escient dans 50% des cas, bizarrement dans 30% des cas, et hors limite dans 10 à 20% des cas (que ce soit volontaire ou non).
Je traite cela dans mes softs régulièrement et met extrêmement en garde les développeurs. En général on ne les stocke pas au même endroit et ils ne font pas partie des API standards. Histoire de ne pas se tirer soi-même une balle dans le pied en les exportant par erreur avec le reste.
(de même que tout est pseudonymisé, les données personnelles étant dans un table à part)
1 « J'aime »