-
Premier Forum parlementaire annuel pour l'égalité et la parité
-
La souveraineté de l'industrie nationale mise à mal
-
La retraite du CDH à Rabat, un conclave de réflexion et d’échange sur l’état et le devenir du Conseil
-
Le rôle de la communauté internationale dans la promotion des droits de l’enfant palestinien, au centre d'une conférence à Amman
-
Le CESE préconise l'instauration d'un système obligatoire unifié entre les différents régimes d'assurance maladie
L'entreprise en question fournit des solutions logicielles pour la gestion des pharmacies, en échange d'un abonnement mensuel. Et selon nos confrères de Hespress qui ont révélé cette affaire, elle aurait régulièrement accès, via son programme informatique, à des données sensibles telles que les ventes de médicaments, leur répartition géographique, les maladies traitées, voire même des informations sur l'identité de certains patients.
Ces données, après avoir été collectées, analysées et stockées, seraient ensuite exploitées dans des opérations de vente au profit de laboratoires, tant au Maroc qu'à l'étranger. En effet, la valeur financière des informations médicales dérobées est significative pour les laboratoires pharmaceutiques, car elles leur permettent d'ajuster leurs stratégies commerciales avec une précision redoutable. Ces données leur offrent une vue détaillée des tendances concernant les types de médicaments demandés, ainsi que les régions où la demande est la plus forte. De plus, elles peuvent être utilisées pour influencer la production de certains médicaments, en mettant l'accent sur des traitements à coût élevé, tels que ceux destinés à combattre le cancer.
Cette pratique est en violation flagrante de la loi n° 08-09 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel qui exige une autorisation préalable de la CNDP pour le responsable du traitement des données. Le but étant d’assurer une protection efficace des particuliers contre les abus d’utilisation des données de nature à porter atteinte à leur vie privée.
Ce scandale soulève, par ailleurs, des questions cruciales sur la protection des données personnelles dans le secteur de la santé, mettant en évidence les sérieuses lacunes dans les réglementations et les pratiques de sécurité dans les logiciels de gestion des informations médicales. Les données de santé sont parmi les informations les plus sensibles et intimes d'une personne, et leur divulgation non autorisée peut avoir des conséquences graves sur la vie privée, la dignité et même la sécurité des individus concernés. Les patients ont le droit de contrôler l'accès à leurs propres informations médicales et de s'attendre à ce qu'elles soient utilisées uniquement à des fins légitimes, tels que le traitement médical ou la recherche scientifique, avec leur consentement explicite.
La cybercriminalité, un autre risque sous-estimé
S'il s'agit d'un événement isolé, ce scandale fait cependant office de piqûre de rappel : nos données médicales sont précieuses mais vulnérables. En effet, dans un monde de plus en plus numérisé, où les informations médicales sont stockées et échangées électroniquement, la nécessité de garantir la confidentialité et la sécurité de ces données est primordiale.
Alors que l’informatisation des données médicales offre des avantages indéniables en termes de facilité d'accès et de partage rapide des informations entre les professionnels de la santé, elle expose également ces données à un risque accru de piratage et de divulgation non autorisée. Les cyberattaques et les violations de la confidentialité des données médicales sont devenues monnaie courante, mettant en évidence la nécessité urgente de renforcer les mesures de sécurité et de protection des informations médicales contre les menaces cybernétiques toujours plus sophistiquées.
Pour certains fins connaisseurs, les données de santé seraient particulièrement recherchées et ciblées car elles sont valables à vie et se vendent donc plus cher. Contrairement à un numéro de téléphone, une adresse mail ou postale, il est impossible de changer ses antécédents médicaux ou son numéro d’immatriculation relative à n’importe quel organisme de sécurité sociale.
Dans une cyberattaque d’hôpital, par exemple, la collecte de données concerne aussi bien celles d’élus politiques, de chefs d’entreprise, de personnalités… Tout le monde passe un jour à l’hôpital. Et avec des données médicales relevant de l’intime, facile ensuite de déstabiliser une personne à forte notoriété. Ces mêmes patients deviennent parfois des cibles de choix pour du phishing personnalisé, ou hameçonnage, qui désigne l'envoi de messages trompeurs conçus pour mieux récupérer des coordonnées personnelles ou bancaires.
Pour Fabrice Epelboin, spécialiste de la cybersécurité, il s’agit de données très sensibles, pourtant mal ou trop peu protégées. «Les banques, par exemple, investissent beaucoup plus dans la cybersécurité que l'industrie médicale. C'est un problème lié aux restrictions budgétaires qui touchent beaucoup plus le secteur médical que le secteur bancaire», explique-t-il. La protection des données, service invisible à l'œil des usagers, peut donc être discrètement reléguée au second plan. «On va rogner dessus de façon à économiser un peu d'argent, on remet ça à plus tard. Le problème, c'est que la sécurité informatique est beaucoup plus compliquée à mettre en place quand on l'élabore après coup», ajoute le spécialiste.
«Mais cela aura sûrement des conséquences désagréables pour les gens qui se sont fait dérober leurs données», précise-t-il. «Les noms et numéros de sécurité sociale étaient parfois accompagnés d'indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l'état de santé, des traitements médicamenteux ou des pathologies (notamment le VIH).
Ce type de données de santé est du pain béni pour les pirates informatiques. «Avec ce genre d'informations, les hackers peuvent mettre sur pied toute une série d'arnaques et de rackets», conclut Fabrice Epelboin.
Mehdi Ouassat