[Etats-Unis] Une société d'imagerie médicale règle 3 millions de dollars en compensation de données de santé de plus de 300 000 patients laissées en libre accès sur Internet

Une entreprise de services d'imagerie médicale Touchstone Medical Imaging ("Touchstone ") basée dans le Tennessee s’est engagée à payer 3 millions de dollars de dédommagements à plus de 300 000 victimes d’une violation  exposant leur données à caractère personnel de santé et à mettre en oeuvre un plan de correction.

Rappel des faits :

Le 9 mai 2014, le Bureau pour les Droits Civiques (Office for Civil Rights ou OCR) a reçu un courriel l’informant que les numéros de sécurité sociale des patients de Touchstone seraient exposés sur Internet et accessibles par le protocole non sécurisé File Transfer Protocol (FTP). Ce même jour, l'OCR a également appris que le FBI avait notifié Touchstone des mêmes faits. Le 12 mai 2014, l'OCR a par ailleurs confirmé que les données des patients étaient bien visibles au moyen d'une simple requête sur le moteur de recherche de Google.

Le 19 août 2014, l’OCR a notifié Touchstone des éléments lui ayant été remontés et qu’elle avait pu constater elle-même dans le cadre de son enquête. Les données à caractère personnel concernaient le nom, la date de naissance, le numéro de téléphone, l'adresse et le numéro de sécurité  sociale des patients.

Par ailleurs, l’enquête a révélé que la société d'imagerie médicale :

  • Avait configuré le serveur en accès pour permettre les connexions FTP anonymes à un serveur partagé, expliquant ainsi leur référencement dans un moteur de recherche public ;
  • Après avoir prétendu le contraire, avait connaissance, dès la détection de l’incident, que les données à caractère personnel de patients avaient été exposées mais n'avait débuté une enquête approfondie sur l'incident de sécurité que plusieurs mois après que l’OCR et le FBI le lui aient signalé ;
  • En complément de son enquête, n'avait pas effectué une analyse précise et approfondie des risques potentiels pour la confidentialité, l'intégrité et la disponibilité des données impactées ;
  • N'a pas notifié les personnes touchées de l'atteinte à la vie privée avant le 3 octobre 2014, soit 147 jours après avoir découvert la violation de données.
Informations
+

Dans le cadre de son engagement, Touchstone doit mettre en oeuvre les mesures suivantes :

- Identifier les prestataires qui traitent les données patients ainsi que leur périmètre d'activité ;

- Effectuer et compléter une analyse précise, approfondie et à l'échelle de sa société des risques et vulnérabilités sur son système d'information ;

- De conduire un audit annuel sur cette analyse et ces évolutions ;

- Inclure dans sa politique de sécurité et procédures internes les éléments suivants :

  • Contrôle d'accès techniques pour tous les périphériques ayant accès aux données patients ;
  • Journalisation des logs et surveillance des activités potentiellement malveillantes à partir de ces informations ;
  • Résiliation des comptes d'utilisateur non utilisés ;
  • Durcir les règles concernant les changement de mots de passe ;
  • Traiter et documenter les incidents de sécurité.