Un nouveau plan d'action pour les échanges entre civilisations dévoilé lors d'un sous-forum    L'indice mondial des prix alimentaires progresse légèrement en juin selon la FAO    Gazoduc Africain Atlantique : Réunions à Rabat du Comité technique et du Comité de pilotage    Tanger: Des travaux à la forêt Al Borj pour la mise en place d'une ligne électrique à haute tension    Droits de douane: Trump revient à la charge contre l'UE, Bruxelles souhaite un accord    UE et Mexique : Trump acte des droits de douanes de 30 % à partir du 1er août    Rencontre sino-américaine à Kuala Lumpur : ouvre-t-elle la voie à une désescalade entre Pékin et Washington ?    SM le Roi félicite le président de Sao Tomé-et-Principe à l'occasion de la fête nationale de son pays    CAN Féminine : les Lionnes de l'Atlas prêtes pour affronter le Sénégal et viser la première place    Les Cavaliers de la Sûreté Nationale brillent à la Semaine du Cheval 2025    Foot féminin : La Copa América Equateur s'ajoute à la CAN Maroc et à l'Euro Suisse en ce mois de juillet    Elégant sauvetage au large d'El Jadida : Une tentative d'émigration clandestine collective déjouée    Sofyan Amrabat entre un retour en Serie A et un intérêt saoudien    Faculté d'Agdal : Le processus de nomination du doyen suscite l'inquiétude des enseignants    Béni Mellal : L'Intérieur annonce la fin d'un sit-in périlleux et l'ouverture d'une enquête    L'ANEF encadre des travaux forestiers à Al Borj liés au projet électrique Tanger II    La trompette nomade d'Ibrahim Maalouf résonne à Casablanca    L'ICESCO renforce le dialogue civilisationnel lors d'une rencontre de haut niveau avec des responsables chinois    Mehdi Bensaïd lance des projets culturels et pose la première pierre du chantier de restauration de Sijilmassa    La cigogne et l'entrepreneur    REIM Partners investit plus d'un milliard de dirhams dans le premier OPCI dédié à la santé    L'OMPIC participe à la 1ère réunion de l'Alliance francophone de la propriété intellectuelle    Dar Taarji dévoile AKAN, une collection singulière de boutique-hôtels de charme    Marrakech : L'influenceuse Fidji Ruiz hospitalisée avec son mari Anas après un grave accident de la route    Ballon d'or 2025 : Achraf Hakimi séduit la presse internationale    Aznar révèle que Chirac a proposé de céder Ceuta et Melilla au Maroc    Morocco and France strengthen parliamentary ties at APF session in Paris    Espagne : L'Association des travailleurs marocains fustige les propos anti-migrants de Vox    France : Un Franco-Marocain tué après avoir tenté de stopper une violente altercation    «Akayeb Denya», nouveau recueil de nouvelles de Maati Kabbal    Marrakech accueille la première édition des Summer Series    Réseau : Auto Nejma tisse sa toile à Agadir    L'Université d'Aix-Marseille attribue le titre de «Docteur Honoris Causa» à Mostafa Terrab    Gouvernance des données : Pilier négligé de notre stratégie digitale ? [INTEGRAL]    L'intelligence artificielle, catalyseur de réinvention de l'action publique au Maroc    Hommage à Najwa Slaoui : Une ingénieure brillante au service de 2M Maroc    Algerian Referee Sparks Controversy at Women's Africa Cup of Nations After Removing "RAM" Logo    CAN (f) Maroc 24 / Groupe C (J2) : La Tanzanie accroche l'Afrique du Sud    Oulad Youssef : Intervention réussie des forces de sécurité pour neutraliser un individu ayant agressé un agent de la protection civile et s'étant retranché dans un château d'eau    Les prévisions du samedi 12 juillet    Israël nomme Avihai Levin, expert des échanges avec le monde arabe, à la tête de sa première représentation économique au Maroc    Chambre des représentants : adoption en commission du PL portant création de la "Fondation Maroc 2030"    Londres : un homme poignardé à mort par un agresseur cagoulé à Knightsbridge    Cinéma : "13 jours, 13 nuits", Roshdy Zem rejoue l'évacuation de Kaboul    Donald Trump menace d'imposer des droits de douane de 35% sur les produits canadiens    La Chine à mes yeux: un concours ouvert aux Marocains pour découvrir et raconter la Chine    Al-Haouz: 46.650 familles ont pu achever les travaux de construction et de réhabilitation de leurs habitations    Le programme d'aide au logement bénéficie à 55 512 Marocains    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Publié dans Yabiladi le 20 - 12 - 2019

Quand les services informatiques de nos entreprises et institutions ont la grippe, ce sont vos données personnelles et votre vie privée qui éternuent. La métaphore médicale de saison est toute choisie pour la nouvelle révélation sur la fuite des données personnelles et données de santé de plus de 115 000 assurés de la CMIM.
Une semaine après nos premières révélations sur la faille du système d'information permettant l'accès très facile aux données personnelles des 800 000 abonnés du badge Jawaz, Autoroutes du Maroc restreint toujours l'accès aux comptes sur leur site internet le temps de corriger leurs erreurs de conception. Cette lenteur pour une situation d'urgence ne les a pas empêché d'affirmer toute honte bue que leur système ne souffrait d'aucune faille dès lundi. Les faits étant têtus, nous continuons notre vaste enquête sur le gruyère informatique d'une partie des entreprises et institutions au Maroc.
La Caisse mutualiste interprofessionnelle marocaine (CMIM) est l'une des mutuelles les plus importantes du secteur privé au Maroc. Si vous ne connaissez pas cette entreprise, c'est probablement parce que vous ne travaillez dans le secteur bancaire ou pétrolier.
Entreprises adhérentes cités dans un document de la CMIM / Archive
Cela représente plus de 115 000 personnes couvertes pour un montant de cotisations de 495 millions de dirhams et 381 millions de dirhams de prestations versées, selon les chiffres de 2015 publiés par la CMIM. Cet organisme mutualiste est également des plus anciens puisqu'il a été fondé en 1977 sur les acquis de la Caisse française interprofessionnelle de prévoyance des cadres (CIPC) qui avait débuté ses activités au Maroc en 1947. Une ancienneté qui n'a pas empêché la CMIM d'opérer son virage numérique initié en 2016, via la société partenaire française CEGEDIM. Mieux encore, une opération de numérisation de tous les dossiers médicaux a été lancée en juillet 2018 pour s'achever en juillet 2020. Une entreprise qui se veut donc à la pointe de la technologie comme l'indique la conférence qu'elle a organisée le 20 décembre 2018 sur l'intelligence artificielle.
«Notre site est statique, sans base de données derrière»
Enfin, tous ces jolis discours sont en réalité de la poudre aux yeux quand on s'intéresse un peu à la sécurité informatique de la CMIM. Alors que leur système d'information contient des données extrêmement sensibles liées à la santé, les accès aux comptes personnels de l'ensemble de leurs adhérents sont en libre accès sur leur site internet. La sécurité informatique de la CMIM pourrait être comparée à la blouse qu'on refile aux patients dans les établissements hospitaliers : tout semble normal de face, mais derrière tout est à l'air libre.
Dès la découverte du «dos nu» de la CMIM, nous avons tenté de les avertir qu'une faille très sensible de leur système d'information exposait les données personnelles de leurs clients. Il y a environ une semaine, l'entreprise nous a mis en relation avec Mounir Khal, chef de projet organisation et qualité de la CMIM, et qui a supervisé la mise en place du site internet. A l'exposé de notre alerte, il se contente de répondre en mode automatique : «Nous ne sommes pas informés (d'une éventuelle faille, ndlr)». C'était pourtant exactement l'objet de notre appel. Mais au lieu de prendre note et d'auditer le système, il se lance dans une réfutation tout azimut : «Nous n'avons pas de données sur notre site web. Les données de nos clients sont sur un autre serveur. Je suis sûr et certain. Notre site est statique, sans base de données derrière.»
Malgré un nouvel appel cette semaine afin de demander à parler au DSI ou un membre de la direction, Mounir Khal est resté intraitable : «Il n'y a pas de faille chez nous. Nous travaillons directement avec le service SI et nous faisons quotidiennement des tests.»
Toutes les données médicales de Mehdi* à nue
Face à une telle assurance, et pour ne pas enfreindre la loi, nous avons appelé des connaissances travaillant dans le secteur bancaire et adhérents de la CMIM, afin d'avoir une autorisation écrite. Lorsque nous leur avons annoncé pouvoir accéder à leurs comptes, ils sont tombés des nues. L'expérience a été menée avec Mehdi* au téléphone pour lui lire l'ensemble des données personnelles auxquelles nous avions accès (nom, prénom, adresse postale, date de naissance), à lui ainsi que tous les membres de sa famille ayant droit. Nous lui avons également donné son numéro de compte bancaire, ainsi que les différents montants de remboursements de soins avec leurs dates respectives. Mehdi* est resté estomaqué face aux détails auxquels nous avions accès.
Détails des remboursements que nous avons montrés à l'un des adhérents contactés
«Mais si vous avez accès à mon compte sur l'interface assurés, vous pouvez donc obtenir les documents comportant les détails des remboursements avec mes traitements médicamenteux et les spécialistes consultés ?», s'inquiéta Mehdi*. En effet, chaque ligne de remboursement donne accès à un document pdf détaillant les médicaments remboursés, les analyses effectuées, ainsi que le type de médecin consulté. Il est ainsi facile d'identifier les maladies chroniques dont souffrent les assurés de la CMIM (diabète, hypertension, allergies, ...), les maladies graves (cancer, Sida, ...), mais aussi les dépressions ou maladies mentales. On comprend mieux pourquoi la Commission nationale des données personnelles (CNDP) impose une procédure plus drastique pour les déclarations de fichiers comportant des données relatives à la santé des individus.
Les personnes adhérentes de la CMIM, contactées par Yabiladi, ont été unanimes dans leurs condamnations et leur volonté de saisir les responsables au sein de leurs entreprises respectives afin de demander des explications à la mutuelle. «Si ni mon syndicat, ni la DRH de la banque ne bouge, je porterais plainte personnellement contre la CMIM», a assuré Mehdi*. L'ensemble des assurés de la CMIM sont en effet en mesure d'ester en justice en s'appuyant sur les articles 23 et 24 de la loi 09-08 relative à la protection des données personnelles.
En attendant, le conseil que nous pourrions donner aux adhérents c'est de changer votre mot de passe (qu'il ait été fourni automatiquement par la CMIM ou si vous l'aviez modifié). Quoique, ce conseil ne servirait qu'à l'unique condition que la CMIM referme la blouse d'hôpital qui lui sert de sécurité informatique.
* Le prénom a été modifié
Article 24 de la loi 09-08
1- Les responsables du traitement des données sensibles ou relatives à la santé doivent prendre les mesures appropriées pour :
a) empêcher l'accès de toute personne non autorisée aux installations utilisées pour le traitement de ces données (contrôle de l'entrée dans les installations) ;
b) empêcher que les supports de données puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des supports de données) ;
c) empêcher l'introduction non autorisée, ainsi que la prise de connaissance, la modification ou l'élimination non autorisées de données à caractère personnel introduites (contrôle de l'insertion) ;
d) empêcher que les systèmes de traitements automatisés de données puissent être utilisés par des personnes non autorisées au moyen -16- d'installations de transmission de données (contrôle de l'utilisation) ;
e) garantir que seules les personnes autorisées puissent avoir accès aux données visées par l'autorisation (contrôle de l'accès) ;
f) garantir la vérification des entités auxquelles les données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission) ;
g) garantir qu'il soit possible de vérifier a posteriori, dans un délai approprié en fonction de la nature du traitement à fixer dans la réglementation applicable à chaque secteur particulier, quelles données à caractère personnel sont introduites, quand elles l'ont été et pour qui (contrôle de l'introduction) ;
h) empêcher que lors de la transmission de données à caractère personnel et du transport des supports, les données puissent être lues, reproduites, modifiées ou éliminées sans autorisation (contrôle du transport) ;
2- Suivant la nature des organismes responsables du traitement et du type d'installations avec lequel il est effectué, la Commission nationale peut dispenser de certaines mesures de sécurité, à condition que le respect des droits, libertés et garanties des personnes concernées soit assuré.


Cliquez ici pour lire l'article depuis sa source.