La vérificatrice générale s’inquiète de la gestion des données confidentielles
La vérificatrice générale, Guylaine Leclerc, s’inquiète du risque d’une mauvaise utilisation des données confidentielles entre les mains de la Régie de l’assurance maladie du Québec (RAMQ) et de Retraite Québec.
Dans les deux organisations, la « supervision » du personnel autorisé à télécharger des données confidentielles « doit être renforcée », estime-t-elle.
La RAMQ et Retraite Québec ne révisent pas fréquemment les accès privilégiés à leurs banques de données et n’effectuent pas adéquatement le suivi des alertes de sécurité, a constaté l’équipe de la VG. « Actuellement, les utilisateurs n’ont pas toujours besoin d’obtenir l’autorisation de leur gestionnaire avant de procéder au téléchargement, et les gestionnaires n’effectuent pas de suivi systématique sur ce qui a été téléchargé », souligne-t-elle dans un rapport déposé à l’Assemblée nationale, mercredi.
Par ailleurs, la RAMQ et Retraite Québec ne vérifient pas systématiquement les antécédents judiciaires des leurs employés, ce qui est un problème selon Mme Leclerc. La RAMQ s’est défendue en mentionnant que « la détermination des critères conduisant au refus de l’attribution d’un accès privilégié est une problématique qui devrait être adressée à l’ensemble de la fonction publique et non à la RAMQ spécifiquement ».
La vérificatrice générale n’a guère été impressionnée par la réplique de la RAMQ. « Ce n’est pas parce que le gouvernement ne t’impose pas quelque chose que tu ne peux pas le faire — parce que l’on comprend que ça a du sens », a-t-elle déclaré.
Les banques de données de la RAMQ contiennent des renseignements personnels sur quelque 8 millions de personnes couvertes, dont leurs noms, leurs numéros d’assurance maladie et leurs numéros d’assurance sociale. Elles renferment aussi les médicaments prescrits aux 3,7 millions de participants au Régime public d’assurance médicaments et aux prestataires de la Commission des normes, de l’équité, de la santé et de la sécurité du travail (CNESST) ainsi que le salaire versé aux professionnels de la santé.
Des lacunes dans la gestion des identités et des accès exposent la RAMQ, Retraite Québec, et tout autre organisme, à des risques d’utilisation illicite, d’accès après le départ d’un employé, de destruction ou de modification de données sans autorisation, et de fuite de données confidentielles.
Le président du Conseil du trésor, Christian Dubé, peinait à croire mercredi que d’anciens employés de la RAMQ pouvaient continuer d’accéder aux données personnelles des Québécois une fois à la retraite ou à l’emploi d’une autre organisation. C’est « totalement inacceptable », a-t-il laissé tomber en Chambre.