Comme tous les jours vous utilisez des applications grand public comme
Google Drive, Yahoo, Gmail… pour la gestion de votre cabinet et communiquer avec vos patients. C’est pratique et facile.
Mais il y a ce pressentiment, ce doute, cette crainte d’être épié. En matière de protection de données de santé, vous croyez peut-être que vous ne risquez pas grand-chose, que rien n’arrivera…Alors d’où vient ce sentiment d’insécurité en ligne ? Courez-vous vraiment un risque de piratage ? Pourquoi vous, en tant que professionnel de santé, êtes-vous plus concerné que jamais ?
Heureusement, vous allez le comprendre, gérer sa patientèle en ligne en toute sécurité est possible. Et ce même si vous n’êtes pas expert !
Sommaire
1/ Être en ligne : pratique mais dangereux ?
a. 57 % de la population se sent espionnée en ligne
Selon Kaspersky, une société spécialisée dans la sécurité en ligne, 57% de la population française se sentirait espionnée en ligne (en 2020). Vous êtes professionnel de santé, pas expert web. Pourtant, vous le connaissez, ce petit malaise. Un matin vous tapez « carotte » sur internet. Le soir vous consultez une recette de crêpes sur marmiton, et il est rempli de pub de carottes en barquettes.
Etonnant. Vous voulez envoyer un mail à un collègue et vous remarquez que Gmail vous propose désormais des réponses automatiques.
Google lit -il vos mails ?
Etonnant. Chez Docorga, vous nous avez raconté beaucoup de situations de ce genre. A commencer par celle de Gregory, psychomotricien (et frère du Fondateur de Docorga, Florian Faideau). L’été dernier, il s’est aperçu que Facebook allait jusqu’à lui suggérer en amis certains de ses patients. Etonnant ? Oui, et préoccupant !
Vous voyez ce doute, cette sensation de ne rien contrôler ? Vous n’êtes pas la seule.
b. Pourtant, gérer sa patientèle en ligne séduit
Près d’¼ des professionnels de la rééducation utilisent des outils grand public de types drive ou boîte mail pour gérer leur administratif. J’utilise moi-même Google Drive tous les jours pour vous écrire. C’est pratique, gratuit, accessible partout.
On commence à l’utiliser pendant nos études, notre vie privée. Par habitude, on l’utilisera aussi dans la vie professionnelle si besoin est. Mais au vu de ces situations inquiétantes et de la sensibilité des données de santé, y a t-il un risque ?
Votre vie privée et celle de vos patients est-elle en danger ?
2/ Les données de vos patients, au cœur d’un trafic juteux en ligne
Les données de santé font l’objet d’un marché frauduleux, elles sont très convoitées. Très peu de sites vous permettront de stocker et gérer de manière sécurisée et confidentielle vos dossiers médicaux, vos factures… Une grande majorité vous espionne et est sujet aux piratages.
a. Les outils en ligne “grand public” vous espionnent
Envoyer un mail n’a rien à voir avec envoyer un courrier papier. Un courrier est matériel, une seule personne à la fois peut le consulter. Quand vous envoyez un e-mail, votre message se retrouve pillé par des dizaines d’intermédiaires. Pas convaincu ? J’ai fait le test pour vous sur « Lightbeam ». C’est un petit outil sur Mozilla Firefox qui vous permet de voir la partie immergée de l’iceberg. J’ai envoyé un mail via Gmail, un autre via Yahoo, et un dernier via Outlook.
Les petits triangles, présents par dizaines, sont des sociétés externes qui ont traqué mon activité. Les traits blancs montrent que certains de ces traqueurs communiquent même entre eux ! Rappelez-vous du secret professionnel. Ça ne vous viendrait pas à l’idée de crier dans une foule le compte rendu de séance de Mme Dupont ou Mr Henry ? C’est pourtant ce qu’il arrive à votre insu sur de nombreux sites internet.
Et ce n’est pas normal.
Alors, qui sont les fameux espions ?Tout site internet (et donc société) collecte des données, à différents degrés. Cette collecte est particulièrement massive et intrusive avec les outils « grand public » : mail, drive et réseaux sociaux. En clair principalement, Google, Facebook, et Microsoft. Que font ces sociétés avec les données de vos patients ? Elles collectent et analysent un maximum d’informations afin de dresser des publicités personnalisées. Tout cela dans l’objectif de vendre plus. Je vous en dis plus un peu plus loin dans cet article.
18 praticiens rédacteurs
16 chapitres complets
100 % gratuit
b. Les hackers vous prennent désormais pour cible
Premier point, votre outil en ligne de gestion patientèle en libéral doit collecter le minimum de données sur vous. Ensuite il doit être rodé contre les cyberattaques, le piratage. Ces sites internet, qui extorquent les données de vos patients, peuvent eux-mêmes se faire pirater. Les pirates revendent eux aussi ces données, mais cette fois à des fins d’usurpation d’identité, et plus tellement de publicités. C’est beaucoup plus grave. Et devinez quoi ? Ce qu’ils préfèrent sont les données personnelles et sensibles, comme la santé !
Vous avez peut-être eu vent des dizaines de cyberattaques sur des hôpitaux français en 2020. Soit une augmentation de 500% en un an (source : Europe 1). Jusque-là épargnés, leurs sites web n’étaient pas assez sécurisés. Aux États-Unis par exemple, un numéro de sécurité sociale se vend en moyenne 7 euros, une date de naissance environ 2 euros. Tout cela secrètement, dans les abysses d’internet. Si elles valent tant d’argent, c’est pour une raison. Les données dans vos mains renseignent d’un état de santé. Elles ne sont pas anonymes, elles identifient vos patients. Si un pirate tombe sur une ordonnance d’antidépresseur, il peut en déduire que Mr/ Mme X souffre de pathologie psychologique. Une vraie mine d’or !
Plus de 13 milliards de données ont été perdues ou volées depuis 2013, soit l’équivalent de 6 millions par jour ! Et ce chiffre augmente …
3/ Un trafic en arrière-plan, basé sur l’ignorance
a. Pourquoi s’intéresserait-on à vous particulièrement, petit cabinet en libéral ?
Depuis 8 ans à vos côtés chez Docorga, c’est la question que vous nous posez le plus. Et elle est légitime.,Pourquoi ces acteurs s’intéresserait-ils à une petite structure en libéral et pas à de plus gros acteurs ? Imaginez que vous êtes vendeur dans un magasin de vêtements. Si le client qui pousse la porte n’est pas Leonardo Dicaprio, vous refuseriez de le conseiller ? Non, tout client est roi, quel qu’il soit. Pour les sociétés derrière ces sites, vous êtes aussi des clients. Vous avez la même valeur que vous soyez grand, petit ou moyen.
De la même façon, que vous ayez 5 ou 200 patients, vous n’êtes pas plus à l’abri. Les sites espions vous épient vous, petit cabinet. Comme ils épient aussi vos collègues, leur base de données devient énorme à long terme. Ensuite arrivent les pirates: ils récupèrent toutes les données d’un coup. La sécurité est nécessaire dès le premier patient, la première donnée. Il n’y a pas de seuil minimum. Je sais ce que vous vous dites. Comment se sentir concerné alors que vous ne semblez jamais vraiment impacté ?
Eh bien c’est terriblement difficile. Pour moi, pour vous, pour tous. Ces acteurs nous poussent volontairement à la résignation. Et c’est grave, parce qu’il s’agit de vie privée, de dignité (celle de vos patients, mais également la vôtre). Cerise sur le gâteau, vous risquez des sanctions de la CNIL si vous êtes trop laxiste sur cette sécurité. Mais il s’agit avant tout d’une question d’éthique et de bon sens.
Solution ? Utiliser des outils spécialisés pour être enfin serein.
b. Un consentement “piégé”
Comment font ces sociétés pour récupérer toutes ces données ? J’aime bien dire « on vous pille avec votre accord ». Vous consentez à ce que ces sociétés recueillent vos données. Seulement vous ne le savez pas, alors même que le consentement est censé être « libre et éclairé » selon la CNIL. Lorsque vous acceptez 5 pages de conditions générales sans les avoir lues, ça vous parle ? Eh bien moi aussi.
Nous savons que nous ratons des infos, qu’il peut s’y glisser n’importe quoi, mais nous acceptons sous la contrainte car nous n’avons pas de temps à perdre.
Vous laissez également des données en acceptant les cookies sur un site web. Ce sont de petits fichiers qui récoltent des informations sur vous pour améliorer votre expérience sur le site. Seulement, vous devez pouvoir les refuser aussi facilement que les accepter, et c’est loin d’être toujours le cas. En janvier Google et Facebook ont respectivement écopé de 150 et 60 millions d’euros d’amendes par la CNIL à ce sujet.
A cette étape de lecture de l’article, votre cerveau bouillonne, c’est normal. Mais alors comment faire ? Faut-il craindre et blâmer les outils en ligne ?
Ils restent le meilleur ratio confort/ sécurité, si l’on utilise les bons outils. Les carnets papier ou les clés USB ne sont pas de meilleure option.
4/ La seule et unique façon de protéger vos données de santé en ligne
a. Quel niveau de sécurité pour les données sensibles ?
Plus vos données sont sensibles, plus votre outil médico-administratif devra être sécurisé. Ce n’est pas tant qu’un site n’est pas sécurisé mais plutôt qu’il ne l’est pas assez pour des données de santé. C’est pourquoi la santé fait l’objet de normes spécifiques en ligne. Je vais le caricaturer pour être clair. Vous seriez choqué que la NASA stocke des documents ultra-confidentiels dans une simple boîte mail Yahoo, n’est-ce pas ? Pour vous, c’est la même chose.
Rassurez-vous, il existe de nombreux sites internet sécurisés pour la gestion administrative en libéral. Vous devez vérifier qu’ils soient conformes au RGPD et certifiés HDS. Je parle chinois ? Vous allez comprendre.
b) La conformité RGPD contre l’espionnage
Premièrement, votre outil doit être conforme au RGPD. C’est le texte de référence en Europe relatif à la protection des données. Il prévoit des mesures pour vous réapproprier votre consentement, en stoppant la collecte abusive de données. Techniquement, absolument tous les sites doivent y être conformes. Pourtant en 2021, seulement 47% des sociétés sur internet disent respecter le RGPD. Ensuite, sur ces 47%, beaucoup ne le sont pas vraiment. Google s’y dit conforme, et bafouille pourtant à la première règle : la transparence. Souvenez-vous des cookies et du consentement « piège » ! Vous en déduisez comme moi que le RGPD ne suffit pas, à lui seul, pour sécuriser des données de santé.
c) La certification HADS contre le piratage
En plus du RGPD, votre outil administratif en ligne doit avoir une certification HDS (hébergeurs agréés données de santé). C’est ça le secret ! Elle assure le cryptage des données de bout en bout, comme si elles étaient dans un coffre-fort inviolable. C’est la plus haute protection existante pour vos données de santé, validée par le ministère de la santé. C’est justement cette certification que n’avaient pas les sites des hôpitaux piratés dont je vous ai parlé plus haut.
Sachez que si c’est le cas de votre outil, vous n’aurez pas de mal à le savoir. La certification HDS est onéreuse et difficile à obtenir. Un outil qui en dispose ne s’en cachera pas ! Faites attention aux solutions trop “low cost”, voire gratuites.Vous connaissez la maxime : « si c’est gratuit, c’est que c’est vous le produit ».
Je vous laisse averti, et libre de vos choix 🙂
5/ La solution Docorga : Reprenez le contrôle !
Docorga est l’outil français de gestion administrative des professionnels de la rééducation en libéral. Vous disposez de 4 outils sécurisés entièrement gratuits et 4 autres payants. Vous avez 1 mois offert. Annulez à tout moment, c’est sans engagement. Je vous laisse découvrir nos services par vous-même…La confidentialité et sécurité de vos données sont une de nos priorités :
- conforme RGPD santé
- certifié HDS
- conforme à la norme internationale de sécurité ISO27001.
Vous pouvez consulter nos certifications dès notre page d’accueil. Soyez en fier, affichez-le dans votre cabinet !
3000 praticiens gagnent tous les jours du temps avec Dorcorga.
Et vous ?
4,8 sur 5 -
