/news/society

Des employés pris la main dans le sac

Nicolas Lachance | Le Journal de Montréal

PHOTO AGENCE QMI, ANDRÉ KIEFFER

Une ex-infirmière de Sherbrooke, Caroline Bernier, a plaidé coupable, fin 2018, d’avoir violé l’accès à des renseignements personnels en consultant sans autorisation des dossiers médicaux.

Entre le 1er octobre 2016 et le 19 juin 2017, Caroline Bernier a accédé aux dossiers de clients du CHUS « 672 fois hors de son contexte professionnel ». Assignée à l’unité de gériatrie, elle avait consulté les dossiers cliniques de personnes hospitalisées aux soins palliatifs, en gynécologie et en psychiatrie.

À LIRE ÉGALEMENT

Votre dossier médical à risque

Elle a également consulté 195 dossiers informatisés de clients d’un autre centre hospitalier affilié, alors qu’elle n’y exerçait pas sa profession. Cela donne un total de 867 infractions.

En plus d’intrusions dans son propre dossier et celui de sa famille, Mme Bernier a eu accès aux dossiers de santé de personnes connues du public, de collègues de travail, de professionnels et d’employés du centre hospitalier. Elle a été suspendue avant de remettre sa démission en juillet 2017. L’OIIC l’a condamnée à une radiation temporaire de six mois.

Il s’agissait de sa deuxième infraction. En 2011, elle a consulté à six reprises, sans justification professionnelle ni autorisation, le dossier d’une usagère ayant fait l’objet d’une situation médiatisée.

Jointe par notre Bureau d’enquête, Mme Bernier a décliné notre demande d’entrevue.

Elle fouillait les dossiers de proches

Véronique Moïse exerçait sa profession de travailleuse sociale au Centre de santé et de services sociaux du sud de Lanaudière. Entre 2003 et 2014, elle a consulté des centaines de fois, sans autorisation et sans justification professionnelle, les dossiers informatiques d’usagers.

Parmi eux, il y avait les dossiers de plusieurs membres de sa famille, son dossier personnel, ainsi que ceux de plusieurs amis et connaissances, de même que ceux de personnalités connues de la région.

« Elle explique que c’est par curiosité, qu’impulsivement, elle fouille les dossiers. Elle ajoute qu’en consultant ces dossiers, elle se sécurise ou se compare », souligne un jugement de son ordre professionnel rendu en 2016.

Mme Moïse a admis avoir déjà fourni des renseignements contenus dans ces dossiers à des directions d’école. Par exemple, elle a informé un établissement scolaire qu’un élève avait déjà fait l’objet d’un suivi auprès du CLSC, souligne le document. Elle a été congédiée le 18 décembre 2014.

Une amie trop curieuse

Le 31 août 2017, à Montréal, la Dre Elena Claudia Minca a plaidé coupable à une infraction d’avoir utilisé à des fins personnelles des renseignements confidentiels contenus dans le dossier d’une amie. En avril 2016, Elena Claudia Minca apprend qu’une amie a été hospitalisée. Elle décide d’utiliser la clé USB de sa clinique pour accéder au Dossier Santé Québec (DSQ), afin de savoir dans quel hôpital se trouve son amie et de quoi elle souffre. Or, l’amie en question avait été victime de violence conjugale. Pour sa protection, le lieu de son hospitalisation devait rester secret. Le conseil de discipline a imposé une radiation temporaire de trois mois à la médecin, qui a aussi été blâmée en mai dernier par la Commission d’accès à l’information. Il s’agit d’une des trois seules enquêtes de la commission concernant les usages inappropriés du DSQ.

Où sont toutes les clés USB ?

Selon des données obtenues par notre Bureau d’enquête, il disparaît chaque jour au moins une clé USB donnant accès aux données de santé des Québécois. Ce sont 129 vols et 3867 disparitions qui ont été répertoriés par le ministère depuis 10 ans.

« Dès qu’un intervenant signale le vol ou la perte d’un dispositif à la RAMQ, ce dernier est désactivé. Dans l’intervalle, il faut comprendre que le dispositif seul ne permet pas d’accéder aux données : un identifiant et un mot de passe sont nécessaires », soutient Marie-Claude Lacasse du MSSS.

Cependant, des sources gouvernementales spécialisées en sécurité informatique ont confirmé qu’il s’agissait d’un jeu d’enfant de déjouer les codes d’accès au DSQ.

Des données qui valent de l’or

Les données de santé sont une mine d’or pour les compagnies pharmaceutiques et d’assurances, les chercheurs et même les pirates informatiques réclamant des rançons.

Ces données se vendent une fortune à des professionnels sur le dark web, indique Damien Bancal, expert en sécurité informatique.

« De santé ou d’identité, la donnée est sensible. Nom, prénom, adresse, numéro de téléphone, courriel ; déjà ça, chez les pirates, ça se vend comme des petits pains chauds. Si en plus tu ajoutes la santé, ce sont des informations que tu vas pouvoir revendre à des professionnels », explique le spécialiste.

Selon lui, plusieurs acheteurs ferment les yeux sur la provenance des données.

Au Québec, une brève recherche sur le marché noir du dark web permet d’acheter des lots de cartes d’assurance maladie ou des identités complètes qui permettraient à un pirate d’avoir facilement accès aux données du DSQ. Les informations sont souvent vendues de manière fragmentée, permettant aux pirates de s’enrichir encore plus.

Dans la même catégorie