"Les entreprises privées ont été plus transparentes que l'État"

Nos données de santé sont-elles sécurisées? Les problèmes de sécurité de la plateforme Helena, révélés la semaine dernière, prouvent que non. Plus inquiétant encore: il a fallu l'action d'une entreprise privée - la coopérative Medispring - pour mettre cette problématique en lumière.

...

Le 27 octobre, le SPF Stratégie et Appui (SPF Bosa) a décidé de suspendre temporairement la méthode d'enregistrement Helena, plateforme d'échange de données entre médecins et patients. Le problème: la plateforme permettait d'accéder à des données de santé sans que l'identité du patient ni son lien thérapeutique avec le médecin ne soient véritablement authentifiés. Il faut souligner la réaction d'Helena qui, dès le lendemain de la parution des faits dans la presse, a joué la carte de la transparence. "Dans sa configuration actuelle, un code de connexion à Helena ne peut être créé que par le médecin généraliste, à partir du dossier médical et en utilisant le numéro de registre national du patient. Le code d'activation du patient pour accéder à Helena doit ensuite être imprimé et remis au patient en personne", détaille la plateforme. "Il s'est avéré que le statut DMG n'a pas été vérifié par Helena lors de l'activation d'un patient.En dehors de ce problème, nous avons également entendu des plaintes sur un cas exceptionnel où un médecin pourrait fournir à un patient le code d'activation par téléphone sans procéder au préalable à l'identification nécessaire et lui remettre physiquement le code, comme établi dans la procédure. Nous sommes conscients de ces problèmes mais nous tenons toutefois à souligner leurs caractères exceptionnels. Pour créer ce scénario improbable, un médecin devrait d'abord créer un dossier médical dans son DMI en utilisant le numéro de registre national et les coordonnées du patient et ainsi s'écarter de la procédure que nous avons définie. Une telle pratique serait bien sûr extrêmement négligente et peu responsable."Sans attendre si la plainte déposée par Medispring à l'Autorité de protection des données (APD) était recevable, Helena a admis l'existence d'une faille dans la sécurité d'accès aux données de santé. Mais la plateforme souligne le caractère exceptionnel de ces problèmes. Une exception pas si évidente pour Medispring. "Nous avons des preuves de notre côté que des médecins demandaient de créer des comptes Helena à distance", explique David Frenay, gérant de la coopérative. "Nous avons aussi des sources, pour l'instant confidentielles, qui indiquent que cette création sans lien DMG était tout sauf exceptionnelle."Si Helena estime qu'ajouter une vérification de ce lien DMG suffirait à rendre la situation sécurisée, ce n'est pas le cas de Medispring. "La vérification du DMG est un emplâtre sur une jambe de bois. Dans une région en pénurie de médecins, on tombe assez facilement sur le médecin qui est porteur du DMG, par exemple."