Dans ce billet, deux cas de vol de données résultant en amendes pour une compagnie d'assurances et un hôpital universitaire...


Un. Consultation illicite de données médicales personnelles : 865 000 $ d'amende
L'hôpital universitaire de la ville de Los Angeles vient finalement de trouver un terrain d'entente avec les autorités fédérales du département de la santé: l'institution versera 865 000 $ d'amende, renforcera la sécurité de son système d'accès aux données médicales et fera auditer les accès aux dossiers des patients par une organisation indépendante.

Cet accord vient conclure une série de plaintes qui avaient été déposées contre l'hôpital entre les années 2005 et 2009. Plusieurs collaborateurs avaient en effet consulté puis divulgué la situation médicale de plusieurs personnalités publiques telles que la chanteuse Britney Spears et l'actrice Farrah Fawcett. Suite au scandale, l'institution avait immédiatement licencié les collaborateurs indélicats .


[note: les brèches de confidentialité dans la sphère privée des personnalités publiques sont symptomatiques de la nature humaine, selon Julie Cantor, Professeure de Droit à UCLA. Il est tout à fait naturel, selon elle, d'être extrêmement curieux lorsqu'il s'agit d'accéder aux informations privées lignes d'une star par exemple. Cette curiosité peut aller jusqu'à convaincre l'intéressé de prendre des risques disproportionnés et le placer en situation illégale, simplement dans l'espoir de dévoiler les faiblesses d'une personnalité fascinante, selon Leo Braudy, professeur à l'université de Californie du Sud. " Quel que soit le nombre et la nature des contrats de non-divulgation signés et le risque pour leur emploi, il y aura toujours des personnes qui penseront pouvoir s'en sortir mieux que les autres."]


Deux. Fuite de données personnelles: l'assureur WellPoint versera 100'000$ d'amende
La société d'assurances WellPoint a été condamnée le 23 juin dernier à 100 000 $ d'amende pour son manque de diligence suite à l'identification d'une feuille faille de sécurité dans son site Web. L'assureur devra également prendre en charge les frais d'une assurance couvrant jusqu'à 50 000 $ de dommages résultant d'un vol d'identité ou d'une utilisation frauduleuse de la carte de crédit de l'un de ses 645 000 clients concernés par le vol de données.

L'annonce de la fuite de données avait été communiquée en juin 2010. Une cliente de l'assureur avait en effet trouvé sur le site Web une faille de sécurité lui permettant d'accéder au détail de chacun des comptes des 645 000 clients de l'assureur. WellPoint avait alors nié toute forme de négligence, accusant directement son fournisseur d'applications. En effet, ce dernier avait été mandaté cinq mois auparavant pour mettre à jour le site web de l'assureur et lui avait alors garanti que toutes les mesures de sécurité logicielle avaient été mises en oeuvre.

Malheureusement pour l'assureur (et heureusement pour les clients), l'état de l'Indiana dispose d'une Loi sur la protection des données personnelles particulièrement contraignante lorsqu'une brèche est identifiée au sein d'une organisation. En plus de sécuriser le système et de notifier toutes les victimes concernées par la brèche, l'assureur aurait dû également annoncer l'incident au bureau du procureur, ce qu'il n'a pas fait.

L'amende de 100 000 $ est donc exceptionnellement basse en raison des circonstances atténuantes cités plus haut. L'on notera l'absence d'éléments indiquant qu'il y a effectivement eu une exploitation de la faille par des pirates: sa seule présence a suffi pour déclencher l'application des dispositions de la loi sur la protection des données.


[note: je ne peux m'empêcher de faire le lien avec un cas plus local. La presse a en effet récemment fait l'écho d'un système d'information clinique (SIC) qui sera très prochainement déployé dans les hôpitaux Neuchâtelois, Jurassien et Bernois. Le contexte propose quelques similitudes dans la mesure où les trois hôpitaux ont délégué la conception et la réalisation d'un logiciel central à un éditeur externe. Espérons que le contrat d'acquisition et les spécifications fonctionnelles auront été formulées avec les bonnes pratiques de sécurité logicielle, et que le chapitre sécurité ne se résume pas à parler d'authentification et de SSL ;) ]