Cegedim, éditeur de logiciels dans le domaine de la santé, vient d’écoper d’une amende de 800 000 euros infligée par la Commission nationale de l’informatique et des libertés (CNIL). L’entreprise a collecté des données de santé de manière illicite et non anonyme, indique l’instance.
Déjà qu’il y a le risque de cyberattaques et fuites de données, collecter des informations médicales n’importe comment est un fait extrêmement grave pour moi. L’amende est donc justifiée.
Car tout le problème est ensuite : ces données vont où? Revendues à qui? Pour en faire quoi? On pourrait très bien imaginer que des compagnies d’assurances peu scrupuleuses veuillent avoir accès à des dossiers médicaux de leurs assurés pour augmenter le prix par exemple. Ou encore des employeurs pour discriminer certains candidats… Ca existe dans ce monde malheureusement.
Le principal risque c’est le piratage de la société qui exposerait les données de tous les patients d’un coup.
si déjà y’a pseudonymisation c’est pas tout à fait « n’importe comment » , à la CNIL de démontrer qu’il était effectivement possible de remonter - et massivement sinon ça n’a aucun sens - les comptes en mode non anonymisés à partir des données pseudonymisées.
Imaginons justement un piratage, avec des données à base de John_smith8562 et de john_doo5689 … tu vas pas pouvoir en tirer grand chose
Je pense qu’à la CNIL, ils ont les compétences techniques nécessaires aujourd’hui…
bien plus qu’une entreprise se jetant dans un domaine qu’elle ne semble pas du tout maitriser.
Happytal, c’est pas mieux… En plus de tapper dans les données perso des patients, ça vide les caisses de la sécu pour des services hôteliers privés dans les hôpitaux.
L’anonymisation comporte aussi une partie dont la pseudonymisation qui permet de faire un traitement des données sans remonter à la ou les personnes d’origine.
Parfois, ce type de démarche est faite suite à la dénonciation du concurrent majoritaire sur le marché qui défend son business.
ça reste à prouver, l’attaque est lourde, donc pour moi déclarer qu’un rapprochement est possible ne dit rien de la réalité de la menace en mode « industriel » ( et au passage, j’ai bossé avec des auditeurs de la CNIL, ils étaient effectivement de bon sens, mais ça c’est un fois qu’ils ont tout y compris les codes sources, avant ça, beaucoup de soupçon, et AMHO leur attitude dépend aussi énormément du fait qu’on agit en les contactant en préventif ou pas … ce que n’a pas fait cette boite )
CEGEDIM c’est un mastodonte du logiciel médical depuis 30 ans.
Et ce système de remontées d’info (en échange de la gratuité du logiciel souvent) est un vieux concept.
Ils savent très bien ce qu’ils font