L acces n est pas assez controle, selon la VG
La Presse revelait en mai dernier que le dossier medical de la vedette de la television quebecoise avait ete consulte par du personnel a plusieurs reprises sans motifs valables. Mme Cloutier n avait pas mis les pieds a l hopital Pierre Boucher de Longueuil depuis 2012, et pourtant, l etablissement de sante denombrait plus d une quinzaine d acces inexpliques a son dossier.
Â
Le lendemain de la publication de l enquete de La Presse, le ministre Christian Dube ordonnait a ses PDG de mener une verification pour connaitre l ampleur du probleme.
 Plusieurs cas de fuites et de vols de donnees, ou d acces non autorise a des renseignements personnels detenus par des ministeres et des organismes publics ont ete rapportes par les medias dans les dernieres annees , explique Guylaine Leclerc dans son rapport publie jeudi.
Les travaux ont porte principalement sur la periode allant de janvier 2021 a mars 2023, mais certains constats peuvent avoir trait a des situations anterieures ou posterieures a cette periode. Le ministere de la Sante et des Services sociaux (MSSS) ainsi que deux etablissements de sante ont ete audites, le CISSS de la Monteregie Ouest et celui des Laurentides.
Apres enquete, la VG constate que les controles de prevention et de detection d acces non autorises ne suffisent pas a s assurer que seules les personnes autorisees a le faire accedent aux renseignements personnels numeriques des usagers.
Elle note plusieurs deficiences dans la gestion des acces aux systemesÂ
Des matrices d acces c est a dire les informations auxquelles les differents groupes d utilisateurs peuvent acceder, en fonction de leurs taches sont absentes, incompletes ou pas a jour.
Des droits d acces sont accordes sans l approbation des gestionnaires responsables.
Des droits d acces ne sont pas revoques rapidement lorsqu ils ne sont plus necessaires
Les droits d acces ne font pas l objet d une revision periodique.
Au surplus, les configurations minimales qui servent a l authentification des utilisateurs sont insuffisantes, notamment celles qui ont trait a des mots de passe , note t elle.
Un mot de passe generique, on ne met pas ca sur un papier jaune pour mettre ca sur les ecrans. Bien, on a vu ca.
La VG fait valoir au passage que le ministre Christian Dube deploie son Plan sante qui repose notamment sur l amelioration de l acces aux donnees et aux renseignements entre les intervenants du reseau. Cela est necessaire, mais suscite tout de meme des preoccupations importantes quant a la protection des renseignements personnels des usagers , souligne Mme Leclerc.
Quebec a d ailleurs adopte une nouvelle loi en mars dernier sur les renseignements de sante et de services sociaux pour rendre plus fluide la circulation des donnees. Cette loi ne concerne pas les enjeux souleves par la VG dans son rapport.
Manque de rigueur des etablissements
Dans son rapport, Mme Leclerc deplore que le MSSS et les etablissements de sante manquent de rigueur dans la gestion des risques et des incidents en lien avec la confidentialite des renseignements personnels numerique. Par ailleurs, la sensibilisation et la formation du personnel soignant ainsi que l encadrement sont insuffisants, ce qui accroit les risques relies a la protection des donnees.
Elle ajoute que les incidents de confidentialite ne sont pas adequatement traites ou documentes et que des mesures de cybersecurite sont a ameliorer.
Il existe pres de 10 000 systemes d information dans le reseau de la sante et des services sociaux.
Le MSSS et les deux etablissements audites ont adhere a toutes les recommandations de la VG. Elle a notamment recommande au MSSS de revoir les directives emises a l intention de son organisation ainsi que des etablissements et dont le respect contribue a la protection des renseignements personnels numeriques, et ameliorer la surveillance de leur mise en Åuvre.