Accueil / Actualités

Montérégie : fuite d’informations au CISSS de la Montérégie-Centre

 L'employé en question ainsi que deux autres de ses collègues impliqués ont été congédiés. (Photo : Jean-Christophe Noël - archives)

Une fuite d’informations confidentielles a eu lieu au Centre intégré de santé et de services sociaux de la Montérégie-Centre (CISSSMC), qui appelle à la vigilance.

Le CISSSMC a été victime d’une fuite d’informations confidentielles. Un employé de l’établissement a consulté et téléchargé plusieurs fichiers comportant des renseignements de santé et de services sociaux d’usagers, dont des renseignements nominatifs. Le CISSSMC a pris connaissance des agissements de l’employé en mars dernier, à la suite d’activités informatiques inhabituelles observées pendant une absence du travail, puis a signalé cet événement aux autorités policières. Une enquête est toujours en cours.

Une enquête interne a aussi été effectuée par le CISSSMC pour comprendre les agissements de l’employé et vérifier la possible implication de complices. Elle a permis d’apprendre que l’ancien employé transférait des listes de données nominatives à l’externe et qu’il interagissait avec deux autres employés de l’établissement, lesquels auraient aussi eu accès à des « renseignements personnels sensibles » impliquant des dossiers d’usagers. Cet employé accédait à ce type de renseignements dans le cadre de ses fonctions, mais il n’était en aucun cas autorisé à les partager avec des tiers, ni à les télécharger. 

Dans les documents téléchargés, les renseignements nominatifs suivants peuvent s’y trouver : le nom complet, les coordonnées du domicile, le numéro de RAMQ, la date de naissance ou l’âge, le numéro de dossier, le médecin traitant, la date de rendez-vous et, parfois, le diagnostic. D’autres renseignements, comme des factures de psychologues externes engagés par le CISSSMC, incluant le numéro de dossier de l’usager, ont aussi été partagés. L’employé en question ainsi que deux autres de ses collègues impliqués ont été congédiés. 

Ce n’est « pas rare »

Fyscillia Ream, professeure à l’Université de Montréal, se spécialise en cybersécurité. Elle soutient que le cas exposé « n’est pas rare », particulièrement dans le milieu de la santé. « Le plus souvent, il s’agit de personnes qui consultent des dossiers médicaux par simple curiosité. Dans la situation décrite, toutefois, la personne est allée plus loin en téléchargeant les documents, ce qui soulève des enjeux importants », affirme la coordonnatrice du Centre international de criminologie comparée du Pavillon Lionel-Groulx.

Conséquences sérieuses

Mme Ream précise que ces informations peuvent surtout être utilisées pour usurper l’identité des personnes concernées. « Elles contiennent des renseignements personnels facilement exploitables par des tiers malveillants. On pense souvent à protéger son NAS, mais en réalité, tout renseignement permettant d’identifier une personne doit demeurer confidentiel. Le principal risque est l’usurpation d’identité afin de présenter, par exemple, une demande de carte de crédit auprès d’une banque », indique-t-elle.

La professeure universitaire renchérit, stipulant que ces données peuvent aussi être revendues à d’autres cybercriminels pour les mêmes fins. « Pour les victimes, les conséquences peuvent être sérieuses, par exemple l’impossibilité d’obtenir une hypothèque en raison d’un mauvais dossier de crédit lié à une fraude, utilisation de leur identité pour faire de fausses demandes de prestations sociales, et d’autres impacts similaires. Il s’agit clairement ici d’un incident de confidentialité », réitère Fyscillia Ream.

« Le principal risque est l’usurpation d’identité. » – Fyscillia Ream

Déposer une plainte

Considérant le nombre d’usagers touchés et que le CISSSMC n’est pas en mesure de tous les identifier, il a choisi de faire un avis public. « Il n’est pas exclu que des démarches supplémentaires soient entreprises. L’enquête est toujours en cours », ajoute-t-il. Aucun dédommagement n’est prévu pour les victimes. « Puisque les données concernées ne sont pas de nature financière, nous évaluons, à ce stade-ci, que ce n’est pas requis », explique le CISSSMC.

Fyscillia Ream mentionne qu’au Québec, les organismes sont assujettis à la Loi 25, qui impose des obligations strictes en matière de protection des renseignements personnels. Elle soulève que les victimes peuvent donc déposer une plainte auprès de la Commission d’accès à l’information du Québec et contacter la personne responsable de la protection des renseignements personnels au CISSS concerné. « De plus, cet organisme est également soumis à la Loi sur les renseignements de santé et de services sociaux. En vertu de ces lois, les personnes touchées auraient normalement dû être informées de l’incident », conclut l’experte.