Article publié le 29/10/2021 par Ariane Peters.
Helena, le fil d’Ariane pour accéder aux données de santé réputées inviolables ?
Ce 26/10, un article paru dans le journal Le Soir (PDF pour les non abonnés) a eu l’effet d’une bombe. Et pour cause, cet article dévoilait que, via Helena, il était « possible d’accéder à un dossier médical sans prouver son identité et sans lien thérapeutique avec un médecin ».
Alors que l’accès aux données de santé est réputé inviolable et nécessite une authentification via un accès sécurisé reconnu par l’État (eID ou Itsme), comment Helena, une des applications d’authentification et d’échange de données entre médecins et patients en Belgique, peut-elle présenter une telle faille de sécurité et ne pas respecter le RGPD, le règlement général de protection des données européen ?
Élément de réponse par l’auteur de cet article : « En 2019, Helena a réussi à obtenir un passe-droit historique de la part des autorités. A savoir : la possibilité de diminuer le niveau de sécurité exigé pour qu’un patient puisse accéder à son dossier (ou son certificat covid). Donc, sans eID ni Itsme. Et sans qu’à aucun moment son identité soit formellement certifiée par un agent de l’Etat, ni que son lien thérapeutique avec son généraliste soit établi. Il suffit d’un simple code envoyé par mail par un médecin (et une confirmation par SMS). Mieux : par extension, il aura aussi accès à ses données de pensions (MyPension) et son historique de rémunérations. »
Une solide faille de sécurité donnant accès à des données sensibles ayant été démontrée par plusieurs analystes, Medispring (coopérative de plus de 2200 médecins utilisateurs de ce logiciel médical) a déposé plainte devant l’Autorité de Protection des Données (APD), rejointe dans sa démarche par plusieurs médecins et un patient. Le « login Helena » a été retiré mardi de la liste des moyens d’authentification reconnus par l’État pour accéder à son dossier médical ou au portail MyPension.be.
La sécurité des données du patient n’est pas négociable
Le succès du partage des données médicales est un parcours long et parsemé d’embuches. C’est un projet à long terme qui a l’ambition d’améliorer la prise en charge des patients de manière harmonieuse et cohérente.
Un obstacle majeur est la peur que des données sensibles soient dévoyées de leur but initial, c’est à dire la prise en charge médicale des patients. Le risque majeur est que les données de santé des patients soit utilisée à d’autres fins, ce qui pourrait mettre fin à la confiance de la population, des médecins et des autorités dans le système de partage de données et de revenir des dizaines d’années en arrière.
Le GBO veut rappeler que :
- les valeurs du respect de la vie privée lors du partage de données de santé doivent présenter toutes les garanties d’inviolabilité.
- les autorités doivent veiller à ce qu’il n’y ait aucun conflit d’intérêt entre les autorités régulatrices et les acteurs qui travaillent aux solutions techniques informatiques,
- les acteurs privés doivent être mis concrètement sur pied d’égalité dans la mise en œuvre de ces solutions.
Les MG réclament que les outils proposés soient performants, présentent un niveau de sécurité optimal … et n’ajoutent pas de stress supplémentaire à leur pratique actuelle !
Ce sera à l’APD de se prononcer sur ce dossier. Mais l’APD aura-t-elle suffisamment de liberté que pour trancher de manière indépendante et impartiale ? La question peut en effet se poser :
- Frank Robben, à la tête de la Banque Carrefour de Sécurité Sociale (BCSS) et de eHealth, est à l’origine du lobbying qui a permis l’acceptation d’une application développée par une firme privée et présentant un niveau de sécurité inférieur à celui offert par une connexion via e-ID ou Itsme.
- La plainte déposée par Medispring à l’APB (dont Frank Robben est membre externe) vise le Comité de sécurité de l’information (CSI) … dont Frank Robben est administrateur général.
Les médecins généralistes réclament que, outre un niveau de sécurité optimal, les solutions proposées soient performantes et n’ajoutent pas au stress de la pratique actuelle. Le GBO espère donc que ce « léger conflit d’intérêt » n’empêchera pas l’APD de rendre rapidement un jugement impartial afin de garantir un accès parfaitement sécurisé aux données des patients.