Publicité en cours de chargement...
Les dossiers médicaux de 150 000 patients américains en accès libre sur le cloud d’Amazon
Après la fuite massive de données en juillet dernier de 14 millions de clients des opérateurs téléphoniques Verizon aux États-Unis et Orange en France, liée à leur prestataire commun NICE Systems et celle liée aux nombreuses informations de connexions des clients d’Accenture, dont 40 000 mots de passe stockés en clair (étonnamment, ils sont aussi mauvais que certains éditeurs de la santé).
C’est au tour de la société PHM (Patient Home Monitoring), spécialisée dans la surveillance de patients à domicile, de commettre l’erreur de laisser son espace de stockage Amazon S3 en accès libre. Selon la société Kromtech Security,47,5Go de données ont été exposés publiquement. 316 363 fichiers PDF contenant les données personnelles des patients, nom, prénom, date de naissance, adresse, numéro de téléphone, les résultats de tests sanguins hebdomadaires, le nom du praticien...
La société a été contactée par Kromtech Security qui lui a notifié ce problème par mail le 5 octobre dernier. Le lendemain, l’accès public avait été supprimé, mais le lanceur d’alerte n’a reçu aucune réponse à son mail, et là encore, il y a peu de chance que la société fautive informe les patients de cette exposition publique de leur données, #ONCACHELAPOUSSIERESOUSLETAPIS.
Pour rappel, en France, il n’est pas légalement possible d’héberger des données de santé chez Amazon. Seuls les hébergeurs agréés (et prochainement certifiés) peuvent héberger des données de santé pour le compte d’un tiers.
En Europe, avec l’arrivée du règlement général sur la protection des données (RGPD /GDPR) [1] le 25 mai prochain, un tel incident ferait encourir au responsable du traitement et son sous-traitant des amandes administratives pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire mondial de l’entreprise.
Pour rappel encore, depuis le 1er octobre dernier, un tel incident survenant dans un établissement de soins Français, doit faire l’objet d’une déclaration sur le portail https://signalement.social-sante.gouv.fr/ conformément à au décret n°2016-1151 venant compléter l’article 110 de loi de santé 2016.
[1] Pour approfondir sur le RGPD, je vous suggère les épisodes de la chronique de Cédric Cartau sur le sujet :
/article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html
/article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html
/article/2650/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-3.html
/article/2666/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-4.html
Avez-vous apprécié ce contenu ?
A lire également.
Fuites de données en France : inquiétant, désabusé…ou espoir ?
28 avril 2026 - 08:10,
Tribune
-En 2025, la France a détenu le record du nombre de fuites de données personnelles (ramené à la population), tout pays de l’OCDE confondu.
Cloud souverain : le décret SREN durcit le cadre pour les données sensibles du secteur public
27 avril 2026 - 09:16,
Actualité
- Rédaction, DSIHLe décret d’application de l’article 31 de la loi visant à sécuriser et réguler l’espace numérique vient enfin préciser les conditions d’hébergement des données sensibles dans le cloud. Pour les établissements de santé, les administrations et les opérateurs publics, le texte marque une nouvelle étap...
Le DLP, ou l’archétype du techno-solutionnisme béat
20 avril 2026 - 10:27,
Tribune
-On n’est pas exactement dans un matraquage publicitaire de haute intensité, mais cela revient tout de même assez régulièrement, comme la grippe de saison ou les allergies aux plastiques des tongs d’été. En tout cas, régulièrement, il se trouve un commercial lambda pour nous ressortir une offre préte...
La cyber face au défi des modèles mentaux
14 avril 2026 - 08:41,
Tribune
-Un modèle mental, c’est un prisme au travers duquel nous regardons la réalité. Des lunettes filtrantes si vous préférez.
