[Etats-Unis] 16 États américains concluent un règlement amiable de 900 000 $ en indemnisation de la violation données à caractère personnel de santé de près de 4 millions de patients

Le 29 mai dernier, les procureurs généraux de 16 États américains ont signé collectivement un accord amiable ("consent judgment") avec deux prestataires de santé, Medical Informatics Engineering Inc. et NoMoreClipboard LLC (ensemble "MIE"), pour un montant total de 900 000 dollars, en indemnisation de l'atteinte à la protection des données subie par 3,9 millions d'individus.

Cette procédure judiciaire avait été initiée à l'origine en décembre 2018 contre les deux prestataires, en violation des dispositions de la Health Insurance Portability and Accountability Act (" HIPAA "). Il s'agit de la toute première procédure de ce genre intentée aux Etats-Unis par plusieurs États fédéraux en même temps.

Entre le 7 mai et le 26 mai 2015, un groupe de pirates informatiques aurait infiltré WebChart, une application Web de gestion des données médicales gérée par MIE. Les attaquants auraient ainsi volé les données à caractère personnel de santé de plus de 3,9 millions de personnes, incluant les informations suivantes :

  • Nom ;
  • Date de naissance ;
  • Numéro de téléphone ;
  • Adresse postale ;
  • Nom d'utilisateur ;
  • Mots de passe hachés ;
  • Questions et réponses de sécurité ;
  • Nom et date de naissance du conjoint ;
  • Adresses électroniques des patients.

Les données de santé sont également concernées par cette divulgation:

  • Numéro de sécurité sociale ;
  • Résultats de laboratoire ;
  • Informations sur la police d'assurance maladie ;
  • Diagnostics ;
  • Nom du praticien ;
  • Nom des enfants.

La partie "Informations" comportent les mesures techniques que les deux entreprises se sont engagées à respecter.  

Informations
+

En plus de l'indemnisation des victimes, les deux entreprises se sont engagées à mettre en oeuvre certaines mesures techniques, notamment :

  • Ne pas utiliser de comptes non nominatifs accessibles depuis un périphérique à distance depuis l'Internet ;
  • Si de tels compte existent, que ces derniers ne comportent aucun droits d'administrateurs ;
  • Mettre en oeuvre une authentification multifacteur (MFA) pour leurs employés accéder au Portail contenant les données à caractère personnel de santé ;
  • Mettre en œuvre et maintenir un système de surveillance des incidents et des événements liés à la sécurité.
    pour détecter les attaques malveillantes et y répondre ;
  • Mettre en œuvre et maintenir des mesures raisonnables pour prévenir et détecter les attaques par injection SQL ;
  • Réaliser un audit sur ces systèmes dans les 90 jours suivant la date d'entrée en vigueur de l'accord, chaque année sur une période de cinq années supplémentaires ;
  • Avoir réalisé une analyse d'impact sur ses traitements en avoir accepté tous les risques inhérents.