Disclaimer : Dans cet article ne sont pas expressément ciblées les personnes concernées, à qui aucun reproche n'est directement fait.
Il n’est pas un secret, suite à cet article où j’expliquais mon parcours, que je consulte des médecins pour mes différents troubles neurodéveloppementaux. Des médecins dans le domaine de la psychiatrie, et des psychologues. Rien d’anormal jusque-là, et rien qui doive être caché.
J’ai dû ce matin contacter mon psychiatre, par l’intermédiaire de son secrétariat, pour une demande concernant mon dossier. J’ai donc envoyé un premier courriel assez générique, contenant peu d’informations. Ce courriel contenait ma clé de chiffrement publique, dans l’espoir d’aller vers un échange chiffré lors du passage aux échanges qui concernent mon dossier patient, et donc mes données médicales. Petite parenthèse pour les personnes non techniques : pour chiffrer un courriel et le rendre lisible uniquement pour l’expéditeur et le destinataire, chacun des deux doit disposer de la clé publique de l’autre. Le déchiffrement se fait ensuite grâce à la clé privée de chacun. Pour des informations techniques complémentaires, je vous invite à visiter cette page.
Après deux trois échanges standards, la personne qui me répondait m’indique ne pas pouvoir ouvrir ma pièce-jointe. Attends, quelle pièce-jointe ? Je regarde rapidement mes courriels envoyés et là, le déclic. Cette personne me parle du fichier .pub, soit ma clé de chiffrement envoyée avec mes courriels.
De cette réponse de sa part découle une observation assez simple : le secrétariat de ce spécialiste ne sait pas chiffrer des courriels. Vous me direz, la plupart des utilisateurs de cet outil ne savent pas chiffrer leurs courriels, ni l’existence de cette possibilité. Et ce n’est pas là le problème. Ici, nous sommes face à des personnes qui manipulent à longueur de journée des données personnelles et sensibles : des données de santé.
Pourtant, les données de santé sont considérées comme des données sensibles, protégées par le secret médical. Celles-ci doivent être hébergées auprès d’un organisme certifié pour l’hébergement de données de santé. De la même façon, l’échange des données de santé doit respecter le cadre juridique défini par l’article L1110-4 du code de la santé publique. Même si je n’ai retrouvé aucune source pour le moment indiquant qu’il s’agit d’une obligation légale, la CNIL donne plusieurs recommandations concernant l’échange de ce type de données par messagerie ou fax.
Beaucoup d’entre vous pourront se dire que ça ne risque pas grand chose, et que de toute façon, vous seul(e) avez accès à votre messagerie. En êtes-vous si sûr(e) ? Une rapide recherche concernant Google, pour ne citer que la messagerie la plus utilisée, révèle très clairement que vos courriels sont tous analysés, ainsi que leur contenu. Maintenant, vous allez me dire : Mais que pourraient-ils bien en faire ? Google, directement, pas grand chose, sauf s’ils ont des filiales dans la santé (puisque c’est le sujet qui nous intéresse ici). Mais que se passe-t-il si, parmi les partenaires de Google, se trouvent votre banque, votre assurance santé, ou tout autre acteur de ce type ? Quels tarifs vous seront ensuite appliqués sur des bases infondées ? Comment pouvez-vous également vous assurer que personne de votre famille n’a accès à des courriels que vous aimeriez garder pour vous ?
Et c’est bien là que le bât blesse. Même si vous n’avez « rien à cacher », tout ne doit pas pour autant être rendu public. Et il est selon moi anormal que nous n’ayons pas en 2022 plus de sensibilisation à toutes ces problématiques chez les acteurs du système de santé, que ce soient les praticiens ou leurs équipes administratives. Aujourd’hui, la sensibilisation à ces sujets est essentiellement réalisée par les hacktivistes, dans des cercles plutôt restreints. Il est temps que cela évolue. D’autant plus que, si les acteurs de la santé ne veulent pas s’embêter avec des aspects techniques parfois complexes à mettre en œuvre seul, de nombreuses solutions externalisées existent comme MSSanté, service proposé directement par le Ministère de la Santé et de la Prévention. Il est temps de sensibiliser l’ensemble des personnels de santé à ces problématiques, et je pense échanger rapidement à ce sujet avec les miens lors de mes différents rendez-vous à venir.
J’ai pris l’exemple des professionnels de santé dans ce petit billet, mais ils ne sont pas les seuls concernés. Qui s’est déjà vu proposer un échange de courriels chiffré par sa banque, par son/sa notaire, par les services publics, par l’assurance maladie ? Le problème est vaste, et Internet rend les données personnelles plus critiques que jamais, notamment par la facilité d’accès à celles-ci, ainsi que les possibilités importantes de diffusion.