Quand les services informatiques de nos entreprises et institutions ont la grippe, ce sont vos données personnelles et votre vie privée qui éternuent. La métaphore médicale de saison est toute choisie pour la nouvelle révélation sur la fuite des données personnelles et données de santé de plus de 115 000 assurés de la CMIM. Une semaine après nos premières révélations sur la faille du système d'information permettant l'accès très facile aux données personnelles des 800 000 abonnés du badge Jawaz, Autoroutes du Maroc restreint toujours l'accès aux comptes sur leur site internet le temps de corriger leurs erreurs de conception. Cette lenteur pour une situation d'urgence ne les a pas empêché d'affirmer toute honte bue que leur système ne souffrait d'aucune faille dès lundi. Les faits étant têtus, nous continuons notre vaste enquête sur le gruyère informatique d'une partie des entreprises et institutions au Maroc. La Caisse mutualiste interprofessionnelle marocaine (CMIM) est l'une des mutuelles les plus importantes du secteur privé au Maroc. Si vous ne connaissez pas cette entreprise, c'est probablement parce que vous ne travaillez dans le secteur bancaire ou pétrolier. Entreprises adhérentes cités dans un document de la CMIM / Archive Cela représente plus de 115 000 personnes couvertes pour un montant de cotisations de 495 millions de dirhams et 381 millions de dirhams de prestations versées, selon les chiffres de 2015 publiés par la CMIM. Cet organisme mutualiste est également des plus anciens puisqu'il a été fondé en 1977 sur les acquis de la Caisse française interprofessionnelle de prévoyance des cadres (CIPC) qui avait débuté ses activités au Maroc en 1947. Une ancienneté qui n'a pas empêché la CMIM d'opérer son virage numérique initié en 2016, via la société partenaire française CEGEDIM. Mieux encore, une opération de numérisation de tous les dossiers médicaux a été lancée en juillet 2018 pour s'achever en juillet 2020. Une entreprise qui se veut donc à la pointe de la technologie comme l'indique la conférence qu'elle a organisée le 20 décembre 2018 sur l'intelligence artificielle. «Notre site est statique, sans base de données derrière» Enfin, tous ces jolis discours sont en réalité de la poudre aux yeux quand on s'intéresse un peu à la sécurité informatique de la CMIM. Alors que leur système d'information contient des données extrêmement sensibles liées à la santé, les accès aux comptes personnels de l'ensemble de leurs adhérents sont en libre accès sur leur site internet. La sécurité informatique de la CMIM pourrait être comparée à la blouse qu'on refile aux patients dans les établissements hospitaliers : tout semble normal de face, mais derrière tout est à l'air libre. Dès la découverte du «dos nu» de la CMIM, nous avons tenté de les avertir qu'une faille très sensible de leur système d'information exposait les données personnelles de leurs clients. Il y a environ une semaine, l'entreprise nous a mis en relation avec Mounir Khal, chef de projet organisation et qualité de la CMIM, et qui a supervisé la mise en place du site internet. A l'exposé de notre alerte, il se contente de répondre en mode automatique : «Nous ne sommes pas informés (d'une éventuelle faille, ndlr)». C'était pourtant exactement l'objet de notre appel. Mais au lieu de prendre note et d'auditer le système, il se lance dans une réfutation tout azimut : «Nous n'avons pas de données sur notre site web. Les données de nos clients sont sur un autre serveur. Je suis sûr et certain. Notre site est statique, sans base de données derrière.» Malgré un nouvel appel cette semaine afin de demander à parler au DSI ou un membre de la direction, Mounir Khal est resté intraitable : «Il n'y a pas de faille chez nous. Nous travaillons directement avec le service SI et nous faisons quotidiennement des tests.» Toutes les données médicales de Mehdi* à nue Face à une telle assurance, et pour ne pas enfreindre la loi, nous avons appelé des connaissances travaillant dans le secteur bancaire et adhérents de la CMIM, afin d'avoir une autorisation écrite. Lorsque nous leur avons annoncé pouvoir accéder à leurs comptes, ils sont tombés des nues. L'expérience a été menée avec Mehdi* au téléphone pour lui lire l'ensemble des données personnelles auxquelles nous avions accès (nom, prénom, adresse postale, date de naissance), à lui ainsi que tous les membres de sa famille ayant droit. Nous lui avons également donné son numéro de compte bancaire, ainsi que les différents montants de remboursements de soins avec leurs dates respectives. Mehdi* est resté estomaqué face aux détails auxquels nous avions accès. Détails des remboursements que nous avons montrés à l'un des adhérents contactés «Mais si vous avez accès à mon compte sur l'interface assurés, vous pouvez donc obtenir les documents comportant les détails des remboursements avec mes traitements médicamenteux et les spécialistes consultés ?», s'inquiéta Mehdi*. En effet, chaque ligne de remboursement donne accès à un document pdf détaillant les médicaments remboursés, les analyses effectuées, ainsi que le type de médecin consulté. Il est ainsi facile d'identifier les maladies chroniques dont souffrent les assurés de la CMIM (diabète, hypertension, allergies, ...), les maladies graves (cancer, Sida, ...), mais aussi les dépressions ou maladies mentales. On comprend mieux pourquoi la Commission nationale des données personnelles (CNDP) impose une procédure plus drastique pour les déclarations de fichiers comportant des données relatives à la santé des individus. Les personnes adhérentes de la CMIM, contactées par Yabiladi, ont été unanimes dans leurs condamnations et leur volonté de saisir les responsables au sein de leurs entreprises respectives afin de demander des explications à la mutuelle. «Si ni mon syndicat, ni la DRH de la banque ne bouge, je porterais plainte personnellement contre la CMIM», a assuré Mehdi*. L'ensemble des assurés de la CMIM sont en effet en mesure d'ester en justice en s'appuyant sur les articles 23 et 24 de la loi 09-08 relative à la protection des données personnelles. En attendant, le conseil que nous pourrions donner aux adhérents c'est de changer votre mot de passe (qu'il ait été fourni automatiquement par la CMIM ou si vous l'aviez modifié). Quoique, ce conseil ne servirait qu'à l'unique condition que la CMIM referme la blouse d'hôpital qui lui sert de sécurité informatique. * Le prénom a été modifié Article 24 de la loi 09-08 1- Les responsables du traitement des données sensibles ou relatives à la santé doivent prendre les mesures appropriées pour : a) empêcher l'accès de toute personne non autorisée aux installations utilisées pour le traitement de ces données (contrôle de l'entrée dans les installations) ; b) empêcher que les supports de données puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des supports de données) ; c) empêcher l'introduction non autorisée, ainsi que la prise de connaissance, la modification ou l'élimination non autorisées de données à caractère personnel introduites (contrôle de l'insertion) ; d) empêcher que les systèmes de traitements automatisés de données puissent être utilisés par des personnes non autorisées au moyen -16- d'installations de transmission de données (contrôle de l'utilisation) ; e) garantir que seules les personnes autorisées puissent avoir accès aux données visées par l'autorisation (contrôle de l'accès) ; f) garantir la vérification des entités auxquelles les données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission) ; g) garantir qu'il soit possible de vérifier a posteriori, dans un délai approprié en fonction de la nature du traitement à fixer dans la réglementation applicable à chaque secteur particulier, quelles données à caractère personnel sont introduites, quand elles l'ont été et pour qui (contrôle de l'introduction) ; h) empêcher que lors de la transmission de données à caractère personnel et du transport des supports, les données puissent être lues, reproduites, modifiées ou éliminées sans autorisation (contrôle du transport) ; 2- Suivant la nature des organismes responsables du traitement et du type d'installations avec lequel il est effectué, la Commission nationale peut dispenser de certaines mesures de sécurité, à condition que le respect des droits, libertés et garanties des personnes concernées soit assuré.
