Maroc : Pour protéger les données de santé des assurés, la CMIM coupe l’accès aux adhérents

Dans la discrétion la plus totale, la Caisse mutualiste interprofessionnelle marocaine (CMIM) a corrigé la faille de sécurité que nous avions révélée le 20 décembre 2019. Passant d’un extrême à un autre, la mutuelle a coupé l’accès à l’espace destiné aux adhérents qui ne peuvent donc plus consulter leurs dossiers de remboursement.

Temps de lecture: 2'

Saïd Ghabri, directeur général de la Caisse mutualiste interprofessionnelle marocaine. / Ph. CMIM

La CMIM est-elle en mode «bunker» depuis notre révélation d’une faille de sécurité donnant accès aux données sensibles (notamment les données de santé) de plus de 115 000 adhérents et ayants droit ? Impossible de joindre l’entreprise au standard, ni le responsable que nous avions contacté auparavant. L’heure semble dédiée à la gestion de la crise informatique, la communication passant à la trappe.

Notre appel visait pourtant à faire le point sur la correction de la faille telle que nous l’avons constatée. Ainsi, le répertoire des fichiers de logs librement accessibles sur leur serveur et qui contiennent les mots de passe et email de chaque adhérent qui s’est connecté, a été rendu inaccessible.

Mais la CMIM n’est toujours pas sortie du pétrin. En attendant de s’assurer que le système est de nouveau sécurisé, le service informatique a tout simplement coupé l’accès à l’espace destiné aux adhérents sur le site internet. Ils devront tout simplement attendre une durée indéterminée (en plus des 3 semaines écoulées) s’ils veulent consulter leurs dossiers de remboursement de soins.

Les adhérents privés d'information et d'accès

Comment expliquer ce passage d’un extrême (toutes les données personnelles en libre accès) à un autre (aucune donnée accessible pour le propriétaire) ? La fébrilité dans laquelle se trouve la CMIM après les appels des entreprises adhérentes peut expliquer cet embargo. A moins qu’il s’agisse de gagner du temps avant de devoir alerter chaque adhérent d’une exposition publique des données personnelles et surtout de santé par la faute de la CMIM. Selon nos informations, les adhérents n’ont toujours pas été notifiés de la faille, ni par voie de presse, ni par courrier électronique ou postal.

Maroc : Les données de santé de 115 000 assurés en libre service

Nous avons tentés de relancer la CMIM à plusieurs reprises sur le sujet, en vain. Ce lundi, après avoir obtenu le numéro personnel du Directeur général, nous lui avons posé nos questions sur le sujet. Saïd Ghabri, qui a semble-t-il pris nos révélations pour une attaque personnelle, n’a pas voulu répondre. «Je ne répondrais que si vous venez en personne au bureau, en présentant votre CIN (carte d’identité nationale, ndlr), votre carte de presse et un écrit, pour ainsi respecter les règles de l’art», a-t-il exigé auprès de notre collègue journaliste l’ayant appelé cet après-midi.

Dans une inversion accusatoire, il a reproché à Yabiladi de ne pas l’avoir contacté au préalable avant d’écrire l’article révélant la faille. Pour rappel, nous avions tenté de joindre la CMIM deux semaines durant, en vain. Seul le responsable qualité avait bien voulu répondre à nos questions, balayant d’un revers de la main toute faille de sécurité.

Face à nos questions précises, Saïd Ghabri a préféré digresser sur l’attaque d’une «entreprise sociale», dont nous nous serions rendus coupables. «Vous vous êtes attaqués à une entreprise qui, chaque jours, aide les gens à se soigner. Je traite des cancéreux, des dialysés, des handicapés, chaque jour et chaque minute...», a-t-il déclaré, oubliant que ce sont les données de santé de ces mêmes malades et personnes atteintes de cancer qu’il a laissé en libre accès, malgré nos appels, et jusqu’à la publication de notre article.

Rappel de l'article 24 de la loi 09-08

1- Les responsables du traitement des données sensibles ou relatives à la santé doivent prendre les mesures appropriées pour :

a) empêcher l’accès de toute personne non autorisée aux installations utilisées pour le traitement de ces données (contrôle de l’entrée dans les installations) ;

b) empêcher que les supports de données puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des supports de données) ;

c) empêcher l’introduction non autorisée, ainsi que la prise de connaissance, la modification ou l’élimination non autorisées de données à caractère personnel introduites (contrôle de l’insertion) ;

d) empêcher que les systèmes de traitements automatisés de données puissent être utilisés par des personnes non autorisées au moyen -16- d’installations de transmission de données (contrôle de l’utilisation) ;

e) garantir que seules les personnes autorisées puissent avoir accès aux données visées par l’autorisation (contrôle de l’accès) ;

f) garantir la vérification des entités auxquelles les données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission) ;

g) garantir qu’il soit possible de vérifier a posteriori, dans un délai approprié en fonction de la nature du traitement à fixer dans la réglementation applicable à chaque secteur particulier, quelles données à caractère personnel sont introduites, quand elles l’ont été et pour qui (contrôle de l’introduction) ;

h) empêcher que lors de la transmission de données à caractère personnel et du transport des supports, les données puissent être lues, reproduites, modifiées ou éliminées sans autorisation (contrôle du transport) ;

2- Suivant la nature des organismes responsables du traitement et du type d’installations avec lequel il est effectué, la Commission nationale peut dispenser de certaines mesures de sécurité, à condition que le respect des droits, libertés et garanties des personnes concernées soit assuré.

Mohamed Ezzouak

Directeur de publication Yabiladi.com

Contacter l'auteur

Voir tous ses articles

CMIM donnees_personnelles cndp sante securite

Suivre Yabiladi