Vous êtes dans : Accueil > Tribunes libres >

La morale et la cyber

Cédric Cartau, MARDI 06 FéVRIER 2024

Récemment, un incident s’est produit dans mon établissement : un fournisseur a envoyé, par mail et en pièce jointe, un fichier Excel (sans mot de passe) avec la liste des serveurs télé-administrés… et les couples ID/Password de plusieurs d’entre eux. J’avoue, j’ai vu tout rouge. J’avoue, le message que j’ai transmis à l’encadrement du technicien fautif était un tantinet caustique. C’est mal, hein ? Mais il s’agissait d’une erreur d’inattention, pas de malveillance ni d’incompétence, et si l’on coupait l’extrémité d’un doigt de chaque ingé ou tech qui commet des bourdes, je serais présentement en train de taper sur mon clavier avec mon pif : c’est la raison pour laquelle, l’affaire n’est pas allée plus loin. D’ailleurs, l’encadrement du fournisseur en question a rapidement réagi – et je me permets de rappeler qu’on détecte les bons dans chaque domaine non parce qu’ils ne commettent aucune erreur, mais parce qu’ils savent très rapidement en corriger la root cause.

Mais dans d’autres cas, qui eux relèveront d’un dysfonctionnement majeur non admissible en 2024 (dans le genre du crétin qui vous explique que pour installer son appli développée avec ses gros doigts boudinés il faut un compte admin de domaine, j’en ai encore, si, si !), la question se pose de savoir s’il ne faudrait pas médiatiser le machin. Genre publier sur les réseaux sociaux, en informer tous les confrères, on n’a que l’embarras du choix, bref, donner dans le « name and shame ». Attention, il ne s’agit pas de faire n’importe quoi et de tomber dans la diffamation (qui relève d’une définition très précise en droit français) ou l’insulte, juste un copier-coller d’échanges circonstanciés, de documentation factuelle, etc. C’est totalement inattaquable, et mes immenses esgourdes m’ont rapporté que certaines administrations y songent pour les cas les plus irrécupérables.

Lors d’une intervention auprès d’étudiants, je racontais par le menu la même histoire jusqu’à l’éventuel name and shame, ce que l’un d’eux a jugé immoral. Après la tentation de balayer d’un revers de main cet argument, j’avoue m’être interrogé. On est d’accord qu’il ne s’agit pas de publier le comportement d’un agent, mais d’une organisation (avec laquelle seule mon CHU est en contrat du reste). Et on est d’accord aussi : pour en arriver à cette extrémité, il faut tout de même avoir enquillé les idioties. Mais la question se pose, même si la réponse est surtout personnelle et individuelle.

C’est d’ailleurs un sujet qui peut être élargi. Devant une bourde commise par un agent, le RSSI et le DPO disposent de toute une palette d’actions de correction immédiates et d’outils d’analyse de la root cause. Sensibilisation, réunion, formation, fourniture de moyens alternatifs, etc. Mais quid de l’erreur volontaire, du franchissement régulier de la ligne rouge selon des raisons obscures du genre « Je fais ce que je veux », « La loi, c’est pour les ronds-de-cuir, moi, j’ai un métier Môôôôsieur » (on me l’a récemment faite celle-là, authentique). J’ai longtemps cru que le RGPD conférait au DPO un devoir de délation dans les cas les plus graves, mais c’est faux. Par contre, tout agent de la fonction publique est tenu de signaler les violations de la loi dont il aurait connaissance, ce qui vaut pour le DPO comme pour le RSSI ou n’importe quel agent.

Mais comment réagir si (de façon tout à fait hypothétique bien entendu) on tombe sur un représentant du corps médical qui, en dehors de tout contexte d’urgence médicale (qui permettrait de s’affranchir de pas mal de règles, mais avec de fortes limites temporelles), envoie des données médicales en gmail au motif que sa file de patients est trop chargée et que le temps d’utilisation d’une messagerie sécurisée (forcément plus important) est incompatible avec sa charge de travail ? La version juridique dit STOP, mais le bien commun (sa file active de patients) pourrait avoir une autre version, celle de la morale.

Je tombe de plus en plus souvent sur des situations, sans valeur statistique bien sûr, où la charge de travail des équipes semble justifier certaines libertés avec les règles ou les bonnes pratiques. Comme l’illustre une discussion récente avec un confrère informaticien qui analyse lui-même les accès au DPI (ce qui nécessite des droits très étendus sur le logiciel et donc des accès aux données médicales) au motif que son DIM est en sous-effectif… et que si lui ne le faisait pas, personne ne le ferait. En tant que DPO, je suis farouchement opposé à cette pratique qui contrevient notamment au principe de minimisation selon moi et accessoirement à l’article L1110-12 du CSP, lequel est sans ambiguïté sur la notion d’équipe de soins. À partir de là, deux lectures s’affrontent : la morale (il faut le faire pour le bien des patients) contre le droit (ce n’est pas à l’agent de prendre sur lui de s’affranchir des textes au motif d’un manque de ressources dont il n’est ni responsable ni comptable).

Je n’ai pas la réponse à la question, mais un jour lointain, quand j’aurai une barbe à la Dumbledore et que je relirai les articles pondus 20 ans plus tôt en caressant la tête de mon basset au coin du feu, je pourrai toujours en faire une suite avec des conseils aussi sages qu’inutiles. Comme disait Shakespeare : « La conscience n’est qu’un mot à l’usage des lâches, inventé tout d’abord pour tenir les forts en respect. » Il me restera juste à faire le lien avec le sujet juridique ci-dessus.

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

#sécurité#rssi#chu#RGPD