« Mon espace santé » : risques et enjeux du tout numérique

Le gouvernement a ouvert la généralisation du service en ligne Mon espace santé. Retour sur les risques et enjeux.

Partager sur:
Sauvegarder cet article
Aimer cet article 1
Woman working on a laptop By: rawpixel.com - CC BY 2.0

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

« Mon espace santé » : risques et enjeux du tout numérique

Publié le 16 février 2022
- A +

Par Yannick Chatelain1 et Pierre Dalzotto2.

 

Poursuivant notre datazerisation collective à un rythme soutenu, le gouvernement a ouvert la généralisation de « Mon espace santé ».

Ce nouveau service public opérationnel depuis le 1er janvier et lancé le 3 février, a pour finalité selon le ministère de la Santé de permettre à « tous les Français de stocker et d’accéder à leurs données de santé en toute confiance et en toute sécurité ». D’ici mars 2022 ce sont ainsi l’ensemble des assurés qui recevront un courrier ou un courriel de l’assurance maladie, du ministère des Solidarités et de la Santé ou de la Mutualité sociale agricole leur demandant d’activer ce dossier médical informatisé avec leur carte vitale et un code provisoire. Cet espace devrait être alimenté tant par les soignants que par l’assuré lui-même. In fine tous les documents médicaux concernant l’assuré pourront s’y retrouver.

 

Qui ne dit mot ne consent pas pour autant ! et pourtant…

Notons que dans la forme, une fois de plus les Français peuvent avoir le sentiment d’être mis devant le fait accompli, cette mise en œuvre ayant été peu médiatisée. Toutefois mon Espace Santé n’est que la suite du Dossier médical partagé, un projet débuté en 2010 de façon expérimentale avant d’être déployé, et pour lequel la CNIL avait donné le 8 mars 2021 un avis intéressant et rappelé son fonctionnement ainsi que les droits des personnes concernées

Ce nouveau dispositif, qui contiendra des données sensibles n’est certes pas obligatoire, il appartiendra à l’assuré d’agir pour l’activer ou s’y opposer : une fois son code provisoire reçu il disposera – il est bon de le savoir – de six semaines, en se rendant sur cette page.

Après ce délai, pour les étourdis, pour se défausser, il leur faudra « entreprendre des démarches auprès  du support de « Mon espace santé » par téléphone au 3422, ou auprès de la caisse d’assurance maladie de rattachement ». Remarquons qu’en terme de marketing ce genre d’acceptation par défaut de l’usager qui l’engagerait dans des frais supplémentaires, s’il n’exerce pas son droit d’opposition s’apparente peu ou prou à de la vente forcée… et est une pratique illégale : « Qui ne dit mot ne consent pas pour autant. »

Il ne s’agit pas ici d’engager des frais supplémentaires, mais tout en restant dans le cadre du droit, le modus vivendi est sensiblement le même pour celui qui passera à côté du mail d’avertissement. Cette approche est ainsi dénoncée par le Syndicat de la Médecine Générale qui parle d’un passage en force et pointe la « négation du droit des patients sur le consentement libre et éclairé ».

 

Quid de la sécurisation de Mon espace santé ? Quels principes de précaution ?

Ces données sensibles se devront d’être hautement protégées pour ceux qui opteront en conscience ou par défaut (sic) pour le stockage de leurs données de santé dans cet espace personnel.

La crise sanitaire a fait des données de santé une cible particulièrement prisée par les escrocs de toutes sortes jamais en manque d’ingéniosité pour en tirer bénéfices.

Ainsi à titre d’exemple, le 4 janvier 2022, une jeune Lyonnaise de 23 ans devait passer devant la justice pour avoir piraté le site de l’assurance maladie et délivré plusieurs milliers de vrais faux pass sanitaires.

Une année auparavant un piratage avait ciblé les systèmes informatiques de l’Assistance publique-Hôpitaux de Paris (AP-HP). Les données de 1,4 million de personnes testées pour le Covid-19 en Île-de-France avaient fuité, intégrant l’identité, le numéro de Sécurité sociale et les coordonnées des personnes testées, ainsi que l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé.

Tout le monde mesurera le potentiel de nuisance que peut représenter l’accès à des données aussi sensibles. Pour ce qui est de Mon espace santé, l’ensemble des données seront protégées et sécurisées par les prestataires, l’État, la CNIL et la Caisse nationale d’assurance maladie (Cnam), sans qu’il ne soit pour autant précisé clairement la teneur de cette sécurisation.

Comme le note le site Numerama il est à ce jour « impossible de savoir, à ce jour, si nos données de santé seront chiffrées ou si des acteurs extérieurs pourront lire ce qui se trouvera sur les serveurs. »

Nous ne pouvons donc qu’espérer que tous les garde-fous ont été mis en place pour ce déploiement et pour les applications d’accès qui seront mises à disposition des usagers. Par-delà le flou concernant la sécurisation, le point certain est que ces données seront hébergées sur le territoire national par les sociétés Atos et Santeos, agréées Hébergeur de Données de Santé (HDS) conformément à l’article L. 1111-8 du Code de la santé publique.

Au delà des attaques ciblant directement des serveurs il est hautement probable que les tentatives de phishing sur le même mode que les arnaques CPF soient reconduites. La vigilance sera donc de mise.

Enfin et pour conclure très momentanément, le risque zéro d’accès par des personnes non autorisées à des données aussi sensibles ne peut exister. La poursuite du tout numérique visant les données médicales n’est pas sans poser de questionnements multiples bien loin d’éventuels piratages, à savoir, entre autres, la possible exclusion de nombreuses personnes pour des raisons d’accès au numérique, et celle des personnes qui en auraient indéniablement le plus besoin… à savoir nos anciens.

  1. Docteur en Administration des Affaires, professeur associé (IT/DIGITAL) chez Grenoble École de Management,  chercheur associé à la Chaire DOS « Digital, Organization and Society » responsable de GEMinsights
  2. est Professeur Assistant Coordinateur de la Chaire. « Digital, Organization and Society » de Grenoble École de Management, & doctorant au CERAG à l’Université Grenoble Alpes
Voir les commentaires (5)

Laisser un commentaire

Créer un compte Tous les commentaires (5)
  • L’horreur numérique est en marche. Soit Orwell 2022, 2023 etc. Quand j’ai reçu ce mail j’ai cru à une arnaque phishing, car je n’en n’avais pas entendu parlé. Mais où allons-nous, après pass culture, pass sanitaire, pass vacinal, pass ons-nous-en, pass ton tour. A titre perso, mon smartphone avait rendu l’âme, panne spontanée et définitive, je n’avais accès à rien, plus de tel, plus de banque, plus de pass, plus de pass navigo, je ne vous raconte pas la galère, alors demain quant tout sera numérique et smartphones obligatoires pour la même panne ce sera case persona non grata et direct l’asile pour indigents et encore si vous êtes reconnus sur pass asile. J’en pass et des moins bonnes.

  • Pour ceux qui aiment bien prendre de l’avance, vous pouvez dès aujourd’hui vous opposer à la création de votre espace santé numérique, sans attendre d’avoir reçu votre code par courrier. Un code provisoire peut être généré sur le site internet et directement transmis au portable ou à l’email que vous avez indiqué à ameli.
    Vous pouvez aussi annuler direct par téléphone au numéro cité dans l’article.
    Dans les deux cas il faut se munir de sa carte « vitale. »
    C’est assez bien foutu, je trouve.

  • J’ai refusé son activation par anticipation. C’est très simple et rapide sur internet. Ayant une bonne connaissance des fuites de données médicales, je m’y suis opposé au plus vite

  • Il me semblait que la réglementation européenne interdisait tout « oui par défaut », et qu’il fallait TOUJOURS un accord explicite pour qu’un nouveau service ou nouveau produit nous soit collé sur les bras.
    Mais bon, la loi c’est pour contraindre le citoyen, certainement pas pour réguler le tyran potentiel…

  • Hop, désactivé. Enfin, en espérant que ça ne soit pas un miroir aux alouettes à la facebook du genre « le compte est désactivé pour votre accès mais on va quand même entreposer tout ce qui vous concerne ». Il paraît cela dit que les datacenters en bois, ça crame bien.

  • Les commentaires sont fermés.

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don
couverture de Red Mirror  L'avenir s'écrit en Chine
1
Sauvegarder cet article

Lors de la parution française en avril 2021 de Red Mirror, essai assorti d'un reportage photographique original sur les rues chinoises, j'avais déjà souligné le sens profond de cet ouvrage d'un journaliste italien, Simone Pieranni, illustré par Gilles Sabrié, un photographe qui vit à Pékin.

Ces deux auteurs décrivent par le récit et par l'image la vie des gens ordinaires qui peuplent les mégalopoles chinoises. Ce sont les mêmes qui manifestent aujourd'hui en Chine contre le fol maintien d'un confinement assassin pour les malheureux hab... Poursuivre la lecture

Cette rentrée est l’occasion pour le département de la Sarthe d’offrir un petit cadeau aux élèves de sixième : dans le cadre d’un programme dit « sport-santé », les jeunes collégiens reçoivent une montre connectée, du même type que celles que l’on peut trouver dans le commerce. Le président du Conseil départemental, Dominique Le Mèner explique :

« Avec cette période de covid, on a constaté qu'il y avait une diminution de l'activité physique, mais j'allais dire plus largement, le problème de la prévention et de la santé n'est pas suffis... Poursuivre la lecture

Le phishing est multiforme : proposition de nouveaux services, offres promotionnelles, alertes anxiogènes invitant l’utilisateur à communiquer de toute urgence des données confidentielles pour continuer à bénéficier de certains services (carte vitale, etc.), faux remboursements d’impôts, arnaques à la livraison de colis demandant à l’usager de débourser des sommes complémentaires pour non-livraison par exemple…

Quel que soit sa typologie, le phishing utilise de façon majoritaire (hormis les actions de reverse engineering) les SMS et/ou... Poursuivre la lecture

Voir plus d'articles