[Etats-Unis] L'hébergeur Inmediata expose par erreur les informations médicales de plus d'un million et demi de patients sur Internet

En avril dernier, Inmediata, un fournisseur de services à destination des professionnels de santé, a annoncé que certaines informations médicales confidentielles hébergées sur ses serveurs avaient été exposés en ligne par erreur, en raison d'une mauvaise configuration sur une page Internet de son portail.

Il s'agit de l'atteinte à la protection des données à caractère personnel de santé la plus importante à avoir été signalée cette année à l'Office for Civil Rights (l'agence gouvernementale américaine en charge de recueillir des actions citoyennes en lien les libertés individuelles).

En janvier 2019, Inmediata a découvert que ces informations pouvaient en effet être consultées en ligne par l'intermédiaire d'une page Internet, qui permettait aux moteurs de recherche de les indexer, sans qu'il soit nécessaire de s'authentifier.

L'information avait été fournie par les établissements de santé et les professionnels de santé indépendants et comprenait le nom, l'adresse, la date de naissance, le sexe, les données sur les réclamations et, pour un petit nombre de patients, le numéro de sécurité sociale.

Inmediata ,en notifiant les personnes impactées le 22 avril 2019 (1 565 338 personnes au total) aurait apparemment adressé ces dernières aux mauvaises personnes. Ces dernières auraient ainsi déclaré avoir reçu une notification comprenant les informations d'autres personnes. En outre, les raisons pour laquelle ce prestataire disposait de leurs données et ses finalités poursuivies n'avaient pas été clairement préétablies.

La page Internet compromise est aujourd'hui désactivée. Bien que l'enquête n'ait révélé aucun élément de preuve indiquant que des personnes non autorisées aient pu avoir accès ou copier les informations exposées, ces deux hypothèses n'ont pas pu être totalement exclues.