« Mon espace santé » : risques et enjeux du tout numérique.
Publié par Yannick Chatelain, le 18 février 2022 4.5k
Le gouvernement a ouvert la généralisation du service en ligne Mon espace santé. Retour sur les risques et enjeux.
Par Yannick Chatelain Docteur en Administration des Affaires, professeur associé (IT/DIGITAL) chez Grenoble École de Management, chercheur associé à la Chaire DOS « Digital, Organization and Society » responsable de GEMinsights
et Pierre Dalzotto Professeur Assistant Coordinateur de la Chaire. « Digital, Organization and Society » de Grenoble École de Management, & doctorant au CERAG à l’Université Grenoble Alpes
Poursuivant notre datazerisation collective à un rythme soutenu, le gouvernement a ouvert la généralisation de « Mon espace santé ».
Ce nouveau service public opérationnel depuis le 1er janvier et lancé le 3 février, a pour finalité selon le ministère de la Santé de permettre à « tous les Français de stocker et d’accéder à leurs données de santé en toute confiance et en toute sécurité ». D’ici mars 2022 ce sont ainsi l’ensemble des assurés qui recevront un courrier ou un courriel de l’assurance maladie, du ministère des Solidarités et de la Santé ou de la Mutualité sociale agricole leur demandant d’activer ce dossier médical informatisé avec leur carte vitale et un code provisoire. Cet espace devrait être alimenté tant par les soignants que par l’assuré lui-même. In fine tous les documents médicaux concernant l’assuré pourront s’y retrouver.
Qui ne dit mot ne consent pas pour autant ! et pourtant…
Notons que dans la forme, une fois de plus les Français peuvent avoir le sentiment d’être mis devant le fait accompli, cette mise en œuvre ayant été peu médiatisée. Toutefois mon Espace Santé n’est que la suite du Dossier médical partagé, un projet débuté en 2010 de façon expérimentale avant d’être déployé, et pour lequel la CNIL avait donné le 8 mars 2021 un avis intéressant et rappelé son fonctionnement ainsi que les droits des personnes concernées
Ce nouveau dispositif, qui contiendra des données sensibles n’est certes pas obligatoire, il appartiendra à l’assuré d’agir pour l’activer ou s’y opposer : une fois son code provisoire reçu il disposera – il est bon de le savoir – de six semaines, en se rendant sur cette page.
Après ce délai, pour les étourdis, pour se défausser, il leur faudra « entreprendre des démarches auprès du support de « Mon espace santé » par téléphone au 3422, ou auprès de la caisse d’assurance maladie de rattachement ». Remarquons qu’en terme de marketing ce genre d’acceptation par défaut de l’usager qui l’engagerait dans des frais supplémentaires, s’il n’exerce pas son droit d’opposition s’apparente peu ou prou à de la vente forcée… et est une pratique illégale : « Qui ne dit mot ne consent pas pour autant. »
Il ne s’agit pas ici d’engager des frais supplémentaires, mais tout en restant dans le cadre du droit, le modus vivendi est sensiblement le même pour celui qui passera à côté du mail d’avertissement. Cette approche est ainsi dénoncée par le Syndicat de la Médecine Générale qui parle d’un passage en force et pointe la « négation du droit des patients sur le consentement libre et éclairé ».
Quid de la sécurisation de Mon espace santé ? Quels principes de précaution ?
Ces données sensibles se devront d’être hautement protégées pour ceux qui opteront en conscience ou par défaut (sic) pour le stockage de leurs données de santé dans cet espace personnel. La crise sanitaire a fait des données de santé une cible particulièrement prisée par les escrocs de toutes sortes jamais en manque d’ingéniosité pour en tirer bénéfices. Ainsi à titre d’exemple, le 4 janvier 2022, une jeune Lyonnaise de 23 ans devait passer devant la justice pour avoir piraté le site de l’assurance maladie et délivré plusieurs milliers de vrais faux pass sanitaires. Une année auparavant un piratage avait ciblé les systèmes informatiques de l’Assistance publique-Hôpitaux de Paris (AP-HP). Les données de 1,4 million de personnes testées pour le Covid-19 en Île-de-France avaient fuité, intégrant l’identité, le numéro de Sécurité sociale et les coordonnées des personnes testées, ainsi que l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé.
Tout le monde mesurera le potentiel de nuisance que peut représenter l’accès à des données aussi sensibles. Pour ce qui est de Mon espace santé, l’ensemble des données seront protégées et sécurisées par les prestataires, l’État, la CNIL et la Caisse nationale d’assurance maladie (Cnam), sans qu’il ne soit pour autant précisé clairement la teneur de cette sécurisation. Comme le note le site Numerama il est à ce jour « impossible de savoir, à ce jour, si nos données de santé seront chiffrées ou si des acteurs extérieurs pourront lire ce qui se trouvera sur les serveurs. »
Nous ne pouvons donc qu’espérer que tous les garde-fous ont été mis en place pour ce déploiement et pour les applications d’accès qui seront mises à disposition des usagers. Par-delà le flou concernant la sécurisation, le point certain est que ces données seront hébergées sur le territoire national par les sociétés Atos et Santeos, agréées Hébergeur de Données de Santé (HDS) conformément à l’article L. 1111-8 du Code de la santé publique.
Au delà des attaques ciblant directement des serveurs il est hautement probable que les tentatives de phishing sur le même mode que les arnaques CPF soient reconduites. La vigilance sera donc de mise. Enfin et pour conclure très momentanément, le risque zéro d’accès par des personnes non autorisées à des données aussi sensibles ne peut exister. La poursuite du tout numérique visant les données médicales n’est pas sans poser de questionnements multiples bien loin d’éventuels piratages, à savoir, entre autres, la possible exclusion de nombreuses personnes pour des raisons d’accès au numérique, et celle des personnes qui en auraient indéniablement le plus besoin… à savoir nos anciens.
Article original publié le 16 février sur Contrepoints
Photo credit: <a href="https://visualhunt.co/a7/ee5369a7">ngernelle</a> on <a href="https://visualhunt.com/re10/c5e253cf">VisualHunt.com</a> Attribution 2.0 Generic
(CC BY 2.0)