[Etats-Unis] Un rapport fait l'état des types de fuites de données d'établissements de santé

Un rapport publié le 23 Septembre 2019 par des chercheurs de l'université d'état du Michigan présente une analyse de toutes les fuites de données de santé connues aux Etats-Unis entre Octobre 2009 et Juillet 2019. 1461 fuites de données ont été identifiées concernant 1388 établissements. Au total, ce sont environ 169 millions d'américains qui sont concernés.

Le rapport regroupe les types d'informations que l'on peut retrouver dans ces fuites de données en 3 catégories:

  • Les données démographiques (nom, prénom, adresse email, adresse, numéro de permis... );
  • Les données financières (paiements, montants, moyens de règlement,...);
  • Les données de santé (diagnostics, traitements, prescriptions,…).

Les chercheurs relèvent plusieurs indicateurs clefs. Sur l'ensemble des fuites d'informations étudiées, 71% concernaient soit des données démographiques sensibles, soit des données financières sensibles, qui auraient pu présenter des risques d'usurpation d'identité. 65% des données concernaient des informations médicales et 2% contenaient des données de santé sensibles. Seulement 16% des données contenaient uniquement des informations médicales sans être associées à un autre type d'information (démographique ou financière).

D'après les chercheurs, les acteurs malveillants à l'origine d'une majorité de ces fuites cherchaient avant tout à obtenir des informations qui pouvaient être revendues, comme des numéros de carte bancaire. Ils ne visaient pas nécessairement des données de santé, mais celles-ci sont souvent liées aux autres données dans les systèmes d'information. C'est pourquoi le rapport recommande d'envisager une gestion différenciée entre les données démographiques et financières et les données de santé dans la façon dont elles sont stockées et traitées, dans le but final de réduire les risques encourus par les patients.

D'après la loi HIPAA (Health Insurance Portability and Accountability Act, loi américaine de 1996), les patients doivent être notifiés 60 jours après une fuite de données les concernant, et informés de la nature des données impactées.

Un résumé de toutes les fuites de données répertoriées concernant plus de 500 individus est accessible publiquement sur le site : https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

Cette liste contient le nom des établissements concernés, la date à laquelle la fuite a été rapportée, le nombre d'individus impactés, et l'origine de la fuite. Parfois, le type d'information impactée est rapporté, mais ce n'est pas systématique.