Données des patients : faille à l’hôpital Bonnet
Derrière la faille, un prestataire privé qui compte l’hôpital intercommunal parmi ses clients
Tous les ambulanciers varois qui ont accès aux logiciels de coordination des transports de santé (1) peuvent accéder, non pas à la fiche médicale détaillée de chaque patient transporté, mais à son adresse, à sa pathologie (via le nom du service hospitalier dont il dépend) et à quelques autres éléments. Les ambulanciers, mais aussi tous ceux qui ont accès à ces logiciels : personnel d’hôpital, de clinique, informaticiens, etc. Cette faille dans la protection et la sécurité des données a été mise au jour par deux « lanceurs d’alerte » que sont Claude Delesse, président du syndicat départemental des ambulanciers varois et viceprésident de la Fédération nationale des ambulanciers privés, et son fils Frédéric Delesse, gérant de l’entreprise Bel Azur (2). Comment en est-on arrivé là ? Retour une année en arrière... Pour faciliter le flux des patients, notamment aux urgences, le centre hospitalier intercommunal de Fréjus Saint-Raphaël, comme la plupart des autres hôpitaux, met en place, il y a environ un an, une plateforme téléphonique avec tous les ambulanciers inscrits.
« Un grave dysfonctionnement »
Histoire d’obtenir le plus rapidement possible un ambulancier pour ses patients. Il fait alors appel à la société SMS (Santé Mobilité Services). « Avec ce système, l’hôpital pourrait appeler directement la plateforme, qui, elle, se chargerait d’envoyer des messages à tous les transporteurs et trouver l’ambulancier le plus proche qui pourrait intervenir le plus rapidement possible », explique alors la direction de l’hôpital. Cependant, la société d’ambulance Bel Azur s’estime lésée, car écartée du système. Elle manifeste son mécontentement. Si aujourd’hui, l’un des deux hommes à lancer l’alerte est justement le gérant de Bel Azur, « ce n’est pas pour régler [s]es comptes, mais pour mettre le doigt sur un grave dysfonctionnement du système », assure Frédéric Delesse. « Le 9 août dernier a été mis en place un système analogue pour le Samu, explique-t-il. Je reçois alors mes identifiants et me connecte au système. Sur le portail web de l’hôpital toulonnais, j’ai la surprise de lire tous les transports (et les données afférentes) que l’on effectue pour le compte de l’hôpital de Fréjus... En se renseignant, on s’aperçoit que cet hôpital a délégué la gestion de ses transports à une société privée qui n’a rien à voir avec celle du Samu. Donc on se pose la question : comment le prestataire du CHI de Fréjus et un fournisseur d’informatique pour le compte de l’hôpital de Toulon peuvent-ils partager des données aussi sensibles que celles des patients ? Tout part de là. » Comme si, en se connectant à un compte d’achats sur Internet, on pouvait lire les transactions d’un autre compte concurrent... Claude Delesse va plus loin et donne sa version : « L’hôpital de Fréjus a sous-traité la gestion des transports à SMS, une boîte privée, depuis juillet 2017. Ce prestataire retenu, sans mise en concurrence, est lui-même ambulancier... Il y a conflit d’intérêt ! Depuis 2017, Bel Azur est en contentieux avec l’hôpital à ce propos. » La nouvelle direction du CHI (lire ci-dessous) compte éclaircir la situation. « On l’a récemment rencontrée, précise Frédéric Delesse. Elle se dit surprise de voir ses données se “trimballer” partout... Quand on sait que l’hôpital de Toulon a bloqué en 24 heures le logiciel à cause de cette faille, on attend toujours que l’hôpital Bonnet réagisse... Mais ils renvoient la responsabilité à la société SMS. » La société Bel Azur a fait constater par huissier la fuite de données « car il y en a qui nous concernent. Dans cette base de données ouverte aux quatre vents, s’y enregistre aussi les incidents de transport quand il y en a, par exemple. J’aspire à ce que ces éléments ne soient pas divulgués à tous, dont mes confrères concurrents... On est à l’opposé de ce que préconise la CNIL ou le RGPD (3) ! » La société Bel Azur a d’abord formé un recours contre la convention avec SMS au tribunal administratif, et a déposé une plainte au parquet de Toulon pour un délit de favoritisme entre l’hôpital de Fréjus et la société SMS (4). « Maintenant, on va communiquer au juge d’instruction les nouveaux éléments que l’on a sur le manque de fiabilité du prestataire. » Claude Delesse insiste sur le fait que « le dirigeant de SMS est le président de la Fédération nationale des transporteurs sanitaires... Il joue sur ses deux casquettes, vendeur de plateforme et président de fédération. » Une petite bombe au passage dans le landerneau des ambulanciers...
1. Le logiciel web SpeedCall de l’entreprise Sanilea où sont gérés les transports pour le Samu ; et l’autre, un peu plus ancien, c’est le logiciel web “concurrent” de SMS (Santé Mobilité Services) pour les autres transports de santé. 2. La société toulonnaise « Côte d’Azur », créée en 1970, a repris en 1989 les Ambulances Hyéroises, et est implantée en tant que Bel Azur à Fréjus, SaintMaximin,Saint-Cyr,Bandol,Saint-Tropez,Brignoles… 3. La CNIL est la Commission nationale de l’informatique et des libertés et RGPD signifie Règlement général sur la protection des données. 4. Nous avons cherché, en vain, à joindre cette société basée à Bouc-Bel-Air, dans les Bouches-du-Rhône.
Pour nous, il y a conflit d’intérêt ”