Publicité en cours de chargement...

Publicité en cours de chargement...

Les dossiers médicaux de 150 000 patients américains en accès libre sur le cloud d’Amazon

12 oct. 2017 - 10:59,
Tribune - Charles Blanc-Rolin
Les fuites de données liées à un mauvais paramétrage d’espaces de stockage cloud d’Amazon s’enchaînent. Et oui, pas toujours besoins de « méchants hackers » pour que les données s’évaporent dans la nature. Une simple négligence d’un administrateur suffit.

Après la fuite massive de données en juillet dernier de 14 millions de clients des opérateurs téléphoniques Verizon aux États-Unis et Orange en France, liée à leur prestataire commun NICE Systems et celle liée aux nombreuses informations de connexions des clients d’Accenture, dont 40 000 mots de passe stockés en clair (étonnamment, ils sont aussi mauvais que certains éditeurs de la santé).

accenture_passwords

C’est au tour de la société PHM (Patient Home Monitoring), spécialisée dans la surveillance de patients à domicile, de commettre l’erreur de laisser son espace de stockage Amazon S3 en accès libre. Selon la société Kromtech Security,47,5Go de données ont été exposés publiquement. 316 363 fichiers PDF contenant les données personnelles des patients, nom, prénom, date de naissance, adresse, numéro de téléphone, les résultats de tests sanguins hebdomadaires, le nom du praticien...

phm_folder

La société a été contactée par Kromtech Security qui lui a notifié ce problème par mail le 5 octobre dernier. Le lendemain, l’accès public avait été supprimé, mais le lanceur d’alerte n’a reçu aucune réponse à son mail, et là encore, il y a peu de chance que la société fautive informe les patients de cette exposition publique de leur données, #ONCACHELAPOUSSIERESOUSLETAPIS.

Pour rappel, en France, il n’est pas légalement possible d’héberger des données de santé chez Amazon. Seuls les hébergeurs agréés (et prochainement certifiés) peuvent héberger des données de santé pour le compte d’un tiers. 

En Europe, avec l’arrivée du règlement général sur la protection des données (RGPD /GDPR) [1] le 25 mai prochain, un tel incident ferait encourir au responsable du traitement et son sous-traitant des amandes administratives pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire mondial de l’entreprise.

Pour rappel encore, depuis le 1er octobre dernier, un tel incident survenant dans un établissement de soins Français, doit faire l’objet d’une déclaration sur le portail https://signalement.social-sante.gouv.fr/ conformément à au décret n°2016-1151 venant compléter l’article 110 de loi de santé 2016.

[1] Pour approfondir sur le RGPD, je vous suggère les épisodes de la chronique de Cédric Cartau sur le sujet :

/article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html

/article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html 

/article/2650/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-3.html

/article/2666/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-4.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.