Maroc : La Chambre des conseillers approuve le projet de loi relatif à la procédure pénale    Taounate : Le taux de réalisation du barrage Ratba a atteint 30%    Etats-Unis : Selon les médias algériens, le Congress aurait rejeté à 98% le classement du Polisario comme mouvement terroriste [Désintox]    Accords d'Abraham : La Mauritanie va-t-elle rétablir ses relations avec Israël ?    Belgique : Le Collectif contre l'islamophobie dans le viseur des renseignements    CAN 2024 féminine : Le Maroc vise la pole position    CAN 2025 - CAN Féminine 2024 : Danone alimentera 10 000 volontaires et 5 000 journalistes    Heavy thunderstorms and hail expected in Morocco on Wednesday    Spain supports Morocco's customs closure in Melilla citing bilateral agreement    Réseau : M-AUTOMOTIV renforce sa présence à Casablanca    Maroc : les EHTC enregistrent plus de 9 millions de nuitées à fin avril    Nizar Baraka lance la troisième tranche de la voie express Fès–Taounate pour un coût de 324 millions de dirhams    Adessalam Zerouali, doyen de la presse régionale : ma proie demeure encore et toujours la désinformation, synonyme d'intoxication    Feuille de route pour l'emploi: Le gouvernement enchaîne les réunions, le chômage en ligne de mire    Elections législatives : Laftit met en garde contre l'instrumentalisation politique des actions caritatives    Sécurité nationale et protection des réfugiés : 5 pays ouest africains adoptent une déclaration    FRMF / LNFP : La Ligue communique au sujet des A.G. des clubs    CAF / LDC- CCAF : la date du tirage au sort des deux tours préliminaires dévoilée    HUSA / Amir Abdou : à peine arrivé, déjà sur le départ !?    L'ambassadeur du Maroc en Inde visite l'usine de TASL où se forment les premiers cadres marocains sur le véhicule WhAP 8×8    BLS lève 500 millions de dirhams pour soutenir son développement logistique au Maroc    Les prévisions du mercredi 9 juillet    Erasmus+ : 10 ans de coopération Maroc-UE célébrés à Rabat    Découverte scientifique : Le lien révélé entre nos ancêtres et les pharaons [INTEGRAL]    Patrimoine ivoirien Le Tambour parleur Ebrié retourne au pays    Renaissance Pharaonique : Le Grand Egyptian Museum fait peau neuve    Summer Grill by George, la nouvelle escale culinaire de Mazagan Beach & Golf Resort    Ventes de ciment : un premier semestre d'excellente facture !    Système financier : une stabilité qui se joue sur le fil    Prime d'investissement : fin de l'à-peu-près, ce qui change vraiment    Errachidia : L'enfant retrouvé mort est décédé par strangulation, aucune trace d'agression constatée    Revue de presse de ce mercredi 9 juillet 2025    Bank Al-Maghrib : 38,2 millions de comptes bancaires ouverts    Statut des magistrats : La Chambre des conseillers approuve à l'unanimité un projet de loi organique    Protection des enfants : Un projet de système d'information intégré pour le suivi en cours de préparation    Danone partenaire officiel de la CAN 2025 au Maroc    L'Agence Bayt Mal Al-Qods Acharif réalise à Gaza la deuxième phase de la campagne d'aide humanitaire destinée aux déplacés    Inondations aux Texas: SM le Roi adresse un message de condoléances à Donald Trump    Droits de douane : face à Trump, les BRICS défendent leur autonomie, l'Europe joue collectif    Mazagan Concerts: Saad Lamjarred en concert samedi prochain à El Jadida    Xavier Driencourt accuse Alger de vouloir humilier la France dans l'affaire Boualem Sansal    Argentine : Javier Milei dissout 21 organismes publics pour réduire le déficit    Foot : Jawad Ziyat nouveau président du Raja de Casablanca    La fondation du Forum d'Assilah clôt la session estivale de la 46e édition de son festival culturel    Le CCM lance l'appel à candidature pour l'Oscar du meilleur film international 2026    Maroc : La Fondation Hiba organise le plus grand marché de disques vinyles et des biens culturels    Jazzablanca 2025 : Emel, l'artiste sans filtre qui fait couler l'encre (et la sueur) !    Nouveau scandale sportif continental : l'Algérie au cœur d'une polémique après avoir manipulé le logo officiel de la CAN    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Publié dans Yabiladi le 20 - 12 - 2019

Quand les services informatiques de nos entreprises et institutions ont la grippe, ce sont vos données personnelles et votre vie privée qui éternuent. La métaphore médicale de saison est toute choisie pour la nouvelle révélation sur la fuite des données personnelles et données de santé de plus de 115 000 assurés de la CMIM.
Une semaine après nos premières révélations sur la faille du système d'information permettant l'accès très facile aux données personnelles des 800 000 abonnés du badge Jawaz, Autoroutes du Maroc restreint toujours l'accès aux comptes sur leur site internet le temps de corriger leurs erreurs de conception. Cette lenteur pour une situation d'urgence ne les a pas empêché d'affirmer toute honte bue que leur système ne souffrait d'aucune faille dès lundi. Les faits étant têtus, nous continuons notre vaste enquête sur le gruyère informatique d'une partie des entreprises et institutions au Maroc.
La Caisse mutualiste interprofessionnelle marocaine (CMIM) est l'une des mutuelles les plus importantes du secteur privé au Maroc. Si vous ne connaissez pas cette entreprise, c'est probablement parce que vous ne travaillez dans le secteur bancaire ou pétrolier.
Entreprises adhérentes cités dans un document de la CMIM / Archive
Cela représente plus de 115 000 personnes couvertes pour un montant de cotisations de 495 millions de dirhams et 381 millions de dirhams de prestations versées, selon les chiffres de 2015 publiés par la CMIM. Cet organisme mutualiste est également des plus anciens puisqu'il a été fondé en 1977 sur les acquis de la Caisse française interprofessionnelle de prévoyance des cadres (CIPC) qui avait débuté ses activités au Maroc en 1947. Une ancienneté qui n'a pas empêché la CMIM d'opérer son virage numérique initié en 2016, via la société partenaire française CEGEDIM. Mieux encore, une opération de numérisation de tous les dossiers médicaux a été lancée en juillet 2018 pour s'achever en juillet 2020. Une entreprise qui se veut donc à la pointe de la technologie comme l'indique la conférence qu'elle a organisée le 20 décembre 2018 sur l'intelligence artificielle.
«Notre site est statique, sans base de données derrière»
Enfin, tous ces jolis discours sont en réalité de la poudre aux yeux quand on s'intéresse un peu à la sécurité informatique de la CMIM. Alors que leur système d'information contient des données extrêmement sensibles liées à la santé, les accès aux comptes personnels de l'ensemble de leurs adhérents sont en libre accès sur leur site internet. La sécurité informatique de la CMIM pourrait être comparée à la blouse qu'on refile aux patients dans les établissements hospitaliers : tout semble normal de face, mais derrière tout est à l'air libre.
Dès la découverte du «dos nu» de la CMIM, nous avons tenté de les avertir qu'une faille très sensible de leur système d'information exposait les données personnelles de leurs clients. Il y a environ une semaine, l'entreprise nous a mis en relation avec Mounir Khal, chef de projet organisation et qualité de la CMIM, et qui a supervisé la mise en place du site internet. A l'exposé de notre alerte, il se contente de répondre en mode automatique : «Nous ne sommes pas informés (d'une éventuelle faille, ndlr)». C'était pourtant exactement l'objet de notre appel. Mais au lieu de prendre note et d'auditer le système, il se lance dans une réfutation tout azimut : «Nous n'avons pas de données sur notre site web. Les données de nos clients sont sur un autre serveur. Je suis sûr et certain. Notre site est statique, sans base de données derrière.»
Malgré un nouvel appel cette semaine afin de demander à parler au DSI ou un membre de la direction, Mounir Khal est resté intraitable : «Il n'y a pas de faille chez nous. Nous travaillons directement avec le service SI et nous faisons quotidiennement des tests.»
Toutes les données médicales de Mehdi* à nue
Face à une telle assurance, et pour ne pas enfreindre la loi, nous avons appelé des connaissances travaillant dans le secteur bancaire et adhérents de la CMIM, afin d'avoir une autorisation écrite. Lorsque nous leur avons annoncé pouvoir accéder à leurs comptes, ils sont tombés des nues. L'expérience a été menée avec Mehdi* au téléphone pour lui lire l'ensemble des données personnelles auxquelles nous avions accès (nom, prénom, adresse postale, date de naissance), à lui ainsi que tous les membres de sa famille ayant droit. Nous lui avons également donné son numéro de compte bancaire, ainsi que les différents montants de remboursements de soins avec leurs dates respectives. Mehdi* est resté estomaqué face aux détails auxquels nous avions accès.
Détails des remboursements que nous avons montrés à l'un des adhérents contactés
«Mais si vous avez accès à mon compte sur l'interface assurés, vous pouvez donc obtenir les documents comportant les détails des remboursements avec mes traitements médicamenteux et les spécialistes consultés ?», s'inquiéta Mehdi*. En effet, chaque ligne de remboursement donne accès à un document pdf détaillant les médicaments remboursés, les analyses effectuées, ainsi que le type de médecin consulté. Il est ainsi facile d'identifier les maladies chroniques dont souffrent les assurés de la CMIM (diabète, hypertension, allergies, ...), les maladies graves (cancer, Sida, ...), mais aussi les dépressions ou maladies mentales. On comprend mieux pourquoi la Commission nationale des données personnelles (CNDP) impose une procédure plus drastique pour les déclarations de fichiers comportant des données relatives à la santé des individus.
Les personnes adhérentes de la CMIM, contactées par Yabiladi, ont été unanimes dans leurs condamnations et leur volonté de saisir les responsables au sein de leurs entreprises respectives afin de demander des explications à la mutuelle. «Si ni mon syndicat, ni la DRH de la banque ne bouge, je porterais plainte personnellement contre la CMIM», a assuré Mehdi*. L'ensemble des assurés de la CMIM sont en effet en mesure d'ester en justice en s'appuyant sur les articles 23 et 24 de la loi 09-08 relative à la protection des données personnelles.
En attendant, le conseil que nous pourrions donner aux adhérents c'est de changer votre mot de passe (qu'il ait été fourni automatiquement par la CMIM ou si vous l'aviez modifié). Quoique, ce conseil ne servirait qu'à l'unique condition que la CMIM referme la blouse d'hôpital qui lui sert de sécurité informatique.
* Le prénom a été modifié
Article 24 de la loi 09-08
1- Les responsables du traitement des données sensibles ou relatives à la santé doivent prendre les mesures appropriées pour :
a) empêcher l'accès de toute personne non autorisée aux installations utilisées pour le traitement de ces données (contrôle de l'entrée dans les installations) ;
b) empêcher que les supports de données puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des supports de données) ;
c) empêcher l'introduction non autorisée, ainsi que la prise de connaissance, la modification ou l'élimination non autorisées de données à caractère personnel introduites (contrôle de l'insertion) ;
d) empêcher que les systèmes de traitements automatisés de données puissent être utilisés par des personnes non autorisées au moyen -16- d'installations de transmission de données (contrôle de l'utilisation) ;
e) garantir que seules les personnes autorisées puissent avoir accès aux données visées par l'autorisation (contrôle de l'accès) ;
f) garantir la vérification des entités auxquelles les données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission) ;
g) garantir qu'il soit possible de vérifier a posteriori, dans un délai approprié en fonction de la nature du traitement à fixer dans la réglementation applicable à chaque secteur particulier, quelles données à caractère personnel sont introduites, quand elles l'ont été et pour qui (contrôle de l'introduction) ;
h) empêcher que lors de la transmission de données à caractère personnel et du transport des supports, les données puissent être lues, reproduites, modifiées ou éliminées sans autorisation (contrôle du transport) ;
2- Suivant la nature des organismes responsables du traitement et du type d'installations avec lequel il est effectué, la Commission nationale peut dispenser de certaines mesures de sécurité, à condition que le respect des droits, libertés et garanties des personnes concernées soit assuré.


Cliquez ici pour lire l'article depuis sa source.