Un fonctionnaire belge donne accès a une entreprise des données de santé et de pension

Grâce à Helena, un outil d’authentification utilisé dans certains logiciels santé, il est possible d’accéder à
un dossier médical sans prouver son identité et sans lien thérapeutique avec un médecin. Une plainte a été déposéeà l’APD par Medispring. La prise d’Helena aurait été débranchée vite fait, ce mardi.

Les données de santé d’un citoyen, c’est de l’or. Des pépites soigneusement protégées dans des « coffres-forts » réputés inviolables. Pas question que votre banquier, votre assureur ou votre employeur épluche votre dossier médical. Seul le médecin disposant d’une «clé électronique» hautement sécurisée pourra ouvrir le dossier médical globalisé (DMG) de son patient, et uniquement le sien. Le patient, quant à lui, devra prouver son identité pour y accéder. Pas le choix: il faut dûment s’authentifier via un des accès sécurisés reconnus par l’Etat, comme la carte d’identité électronique (l’eID) ou l’application Itsme.

De quoi dormir tranquille ?

Pas si vite. Depuis deux ans, les remparts de la citadelle sont sérieusement ébréchés. En cause : Helena, du nom d’une des plus importantes applications d’échange de données entre médecins et patients en Belgique. Le produit est commercialisé par HealthConnect, filiale de la firme privée Corilus (propriété d’un fonds d’investissement néerlandais). En 2019, Helena a réussi à obtenir un passe-droit historique de la part des autorités. A savoir : la possibilité de diminuer le niveau de sécurité exigé pour qu’un patient puisse accéder à son dossier (ou son cer- tificat covid). Donc sans eID ni Itsme. Et sans qu’à aucun moment son identité soit formellement certifiée par un agent de l’Etat, ni que son lien thérapeutique avec son généraliste soit établi. Il suffit d’un simple code envoyé par mail par un médecin (et une confirmation par SMS). Mieux : par extension, il aura aussi accès à ses données de pensions (MyPension) et son historique de rémunérations. De quoi exposer le quidam et de nombreuses personnalités publiques à une fuite de données. C’est ce que dénoncent aujourd’hui de nombreux acteurs de l’e-santé, dont Medispring, une coopérative regroupant plus de 2.200 médecins, qui a décidé de déposer plainte devant l’Autorité de protection des données (APD). Cinq médecins et un patient se sont joints à la démarche. Plusieurs analyses démontrent la faille.

« Abus de pouvoir »

Au passage, le dossier est devenu ultra-politique, embarrassant sérieusement les différents cabinets (tant chez Frank Vandenbroucke que chez Christie Morreale ou Alain Maron), qui « se seraient bien passés de ce dossier». Et pour cause : il était question de forcer l’ensemble du secteur à adopter ce niveau de sécurité au rabais. En dépit d’un veto unanime côté francophone, le point était à l’ordre du jour de deux intercabinets «santé» les 5 et 22 octobre derniers. Derrière cette marche forcée, contre vents et marées, un seul homme : Frank Robben, le patron de la Banque Carrefour de sécurité sociale et de eHealth, les deux plateformes qui organisent les échanges de données de sécurité sociale et de santé en Belgique.

« Robben a abusé de son pouvoir pour favoriser la solution d’une firme privée dont les techniques d’authentification pour accéder à nos données ne répondent pas aux mêmes exigences de sécurité appliquées par les services de l’Etat. L’agent certifiant l’authentification d’un citoyen belge n’est donc plus un agent de l’Etat, mais une firme privée qui délègue cette tâche au médecin», résume une source proche du dossier.

Une galaxie sous haute sécurité

Une prescription, des résultats de tests de labo, une radio, un résumé médical, un schéma vaccinal… Tous les jours, les professionnels de la santé (médecins, kinés, infirmières à domicile, dentistes, maisons de repos, hôpitaux…) s’échangent des tonnes de données. Cela exige des serveurs sécurisés fonctionnant 24 heures sur 24 pour stocker et communiquer les données. Plusieurs « coffres-forts » de dossiers médicaux et portails d’accès ont vu le jour. Certains portés par des institutions (comme l’UZLeuven ou l’UZGent), d’autres par des fédérations de médecins (comme la coopérative Medispring), des acteurs privés (CareConnect de Corilus, Health- One, Medinect…). Ou directement par les autorités publiques : le Réseau Santé bruxellois, le Réseau Santé wallon (RSW) ou CoZo, la «Collaboratief Zorgplatform» en Flandre. Au niveau fédéral, on retrouve MaSanté.be, porté par le SPF Santé publique, portail d’accès unique qui s’appuie en réalité sur les plateformes régionales.

«Les réseaux sont donc des entités non marchandes, reconnues par un décret ou une ordonnance, avec une mission qui leur est dévolue et un financement par les autorités publiques. Il y a donc un contrôle public sur nos activités », précise André Vandenberghe, directeur du RSW, l’un des premiers à s’être inquiétés de voir une firme privée créer un « réseau parallèle et multidisciplinaire ». Helena est en effet intégré à CareConnect, le produit phare de Corilus, omniprésent dans les cabinets et les hôpitaux. Sept médecins flamands sur dix l’utilisent. Elle a aussi été adoptée par HealthOne, produit commercialisé par la filiale belge de la multinationale française Cegedim.

Un parcours improbable

Pour communiquer entre elles, ces plateformes se font confiance. A condition que chacune respecte les règles: l’échange de données requiert le consentement préalable du patient et un lien thérapeutique entre le patient et le médecin. Ce dernier point, a pu démontrer Medispring, ne ferait pas l’objet d’une vérification formelle dans la procédure Helena. Ensuite, il faut que le mode d’accès à ce type de données qualifiées de «sensibles» soit homologué par le SPF Bosa (Stratégie & Appui), plus précisément son service d’authentification fédéral (le FAS). Ces outils doivent enfin, et surtout, partager le même niveau de sécurité exigé pour s’authentifier. Sur une échelle de 0 à 500, Itsme et l’eID, par exemple, sont au niveau 400.

C’est là qu’est l’os. En dépit de garanties de sécurité plus faibles, que Bosa a fixées à 350, Helena a pu décrocher son homologation par le FAS et bénéficier des mêmes droits d’accès qu’Itsme et l’eID aux données de santé et de sécurité sociale. Une faveur gagnée au terme d’un parcours décisionnel pour le moins improbable. Et dont l’épilogue, truffé de surprises, est loin d’être écrit.

Frank Robben et c’est connexion avec la société Corilus

Frank Robben et Jos Vranken, le patron de HealthConnect, se connaissent très bien. La filiale de Corilus, comme elle l’affiche sur son site, est un des partenaires historiques de la plateforme eHealth pour laquelle il a développé une série de solutions informatiques. « Jos Vranken fait partie de personnes de référence sur lesquelles Robben s’appuie», glisse un proche.

« En 2019, alors qu’Helena venait de sortir sur le marché, Jos Vranken a entrepris des démarches auprès de Frank Robben, argumentant que CareConnect pouvait faciliter les échanges de documents entre le médecin et son patient», raconte ce proche du dossier. «Puis ils ont voulu utiliser Helena comme outil d’identification pour que le patient puisse accéder à ses données. »

En le résumant, le processus est alors celui-ci : le médecin ouvre (ou crée) le dossier du patient. Il a donc son numéro de registre de national. Il y ajoute son numéro de téléphone et une adresse mail. Il lui envoie «un code d’accès Helena» par mail, valable 48heures. Muni de ce code, et après une ultime vérification par SMS, il entre dans Helena et accède à son dossier. Ni eID, ni Itsme pour authentifier que le patient dispose bien d’un droit accès légitime à son dossier. C’est d’ailleurs l’un des arguments de la solution défendue par Frank Robben : tout le monde ne sait pas utiliser Itsme ou l’eID. L’idée étant, ici, que ce soit le médecin qui joue le rôle d’identification d’un agent de l’Etat. A supposer, bien sûr, que le patient soit en face de lui… La ou la magie s’oppere, un simple coup de fil suffit pour obtenir un code Helena…

Le CSI au cœur de la plainte

Pour qu’Helena puisse décrocher son sésame de moyen d’accès aux données de santé, il fallait une base légale. En passant par la case Parlement? Non, Frank Robben passera par le Comité de sécurité de l’information (CSI). Pour rappel, cet organe, considéré par de nombreux juristes comme un ovni institutionnel, a été créé en 2018 (contre l’avis de la Commission européenne, de l’APD et du Conseil d’Etat) et autorise les réutilisations de données, sans passer par le Parlement. Une enquête a montré que seuls cinq de ses seize membres, toujours pas nommés officiellement par le Parlement, étaient convoqués à ses réunions. Ses décisions sont « préparées » par le secrétariat de eHealth et de la BCSS. Dont Frank Robben est l’administrateur général.

Le CSI a rendu deux délibérations offrant une belle rampe de lancement à Helena. La première (la 19/152) du 3septembre 2019 autorise la plate-forme eHealth, à utiliser des moyens d’identification électronique offerts par des organisations privées, dès lors qu’ils sont homologués par le FAS. Une décision créer sur mesure pour Corilus puisque, à l’époque, elle est la seule firme privée à proposer un système alternatif à Itsme et l’eID. La seconde (la 19/210) du 5 novembre 2019 adoube expressément Helena comme moyen d’authentification. Ce sont précisément ces décisions du CSI qui sont au cœur de la plainte portée devant l’APD par Medispring, qui estime qu’elles « mettent en danger les données des patients ».

Entre-temps, Frank Robben aura donc dû aussi convaincre le FAS, soit le SPF Bosa, d’homologuer Helena. Il revient de plusieurs sources internes que les débats furent virils. « Ça a dépassé toutes les bornes de sécurité que l’on avait mises en place. Et c’est le pouvoir de Frank Robben qui a tout fait », nous confie l’une d’elles. « Bosa a tordu le cou à la réglementation européenne, notamment en supprimant certains critères liés à l’authentification. Vous venez de taper dans une énorme fourmilière. Quand on a certifié cet accès, on savait que l’on ouvrait une boîte de Pandore. Ils ont agi sur pression. » Le malaise au sein du SPF est palpable. A noter que Bosa n’a officiellement pas donné suite à nos questions, se contentant de dire qu’Helena a été homologué en août 2020. Et ce « uniquement pour les secteurs de la santé et du social ». Du social aussi ?

Oui, de la sécurité sociale aussi. Pourtant, la décision du CSI ne porte que sur le périmètre d’eHealth. Sauf que le patron de eHealth (Frank Robben) n’aura pas eu trop de difficultés à convaincre celui de la Banque Carrefour de la sécurité sociale (que dirige Robben Frank) d’accepter Helena, et son niveau de sécurité inférieur, pour accéder aux données du portail MyPension.

« Avec les francophones, c’est toujours compliqué »

Avant cela, il avait d’ailleurs mis le Comité de gestion de eHealth dans sa poche. Dans une note confidentielle de 5 pages adressée à ses membres, le 4 septembre 2019 (soit au lendemain à peine de la décision du CSI), Frank Robben «prie» ses membres «d’approuver» Helena comme moyen d’authentification. Il ne réussira pas, en revanche, à convaincre ses confrères des Finances. « Tax-on-Web et MyMinFin ne veulent pas en entendre parler…», dit notre source.

Au passage, il persuade le SPF Santé d’adopter la solution de Corilus pour le portail MaSanté.be. En Flandre, après une timide résistance, Cozo, l’UZGent, l’UZLeuven… emboîtent le pas.

En revanche, l’affaire se corse à Bruxelles et en Wallonie, renforçant l’idée bien ancrée dans la tête du patron de la BCSS qu’« avec les francophones, c’est toujours compliqué ». Mais l’opposition est farouche tant au sein des Réseaux Santé wallon et bruxellois que dans leur cabinet de tutelle (Alain Maron, Christie Morreale). En gros: pas question pour eux d’abaisser le niveau de sécurité de leur plateforme à celui imposé par une firme privée qui est proche de Frank Robben. Pas question, non plus, de demander au médecin de jouer l’agent d’authentification à la place de l’Etat.

Déterminé, Frank Robben s’invite alors à un intercabinets Santé le 5 octobre. PowerPoint sous le bras, il entend bien convaincre les francophones que le niveau 350 offre toutes les garanties d’un niveau 400. Raté. Rebelote, du coup, le 22 octobre. Avec, cette fois, une proposition pour le moins surprenante. On résume : puisque vous refusez d’accepter un moyen d’authentification au rabais à 350, élevons celui d’Helena à 400. Mais… sans rien changer à son mode d’authentification ! L’idée ne passera pas la rampe. Méfiants, les partenaires autour de la table exigeront finalement la désignation d’un expert indépendant pour les aider à trancher.

Robben berné ?

Cette «obstination à favoriser le produit d’une firme privée et d’être sont porte parole » reste un mystère pour nos sources. Nous avons posé la question à Frank Robben. Il n’y répond pas directement, mais, par mail, nous rappelle toutes les raisons qui l’ont conduit à faire confiance à Helena. Notamment le fait qu’Itsme (consortium entre quatre banques et les télécoms) est aussi une organisation privée. Rappelons toutefois qu’il ne s’agit pas d’une entreprise active dans le secteur de la santé, « concurrente », donc.

Ensuite, Frank Robben rappelle qu’Helena répond au règlement européen (le eIDAS), «qui détermine des critères auxquels des moyens d’authentification doivent répondre pour être suffisamment sécurisés». Sauf que la décision du CSI exige seulement que l’application Helena respecte un «niveau substantiel » de sécurité. « Par un tour de passe-passe juridique», nous dit-on à bonnes sources, « des articles clés du eIDAS, comme la vérification formelle de l’identité lors de la création du compte Helena, ont été ignorés aussi».

La question peut donc se poser. Frank Robben, visiblement convaincu par les garanties de sécurité d’Helena, aurait-il été berné par Corilus et Jos Vranken ? Ce qui, pour certains, apparaissait comme « un abus de pouvoir » ne serait-il pas en réalité qu’un abus de confiance. Il nous revient, en off, qu’à la suite de nos questions liées au dépôt de la plainte, Frank Robben aurait bien dû se résoudre à acter les failles. La décision de débrancher rapidement la prise d’Helena, et de le sortir du FAS, a été prise dare-dare, ce mardi.

Nos données santé et pension vulnérables ?

La méfiance du secteur (et des autorités) à l’égard de la solution Corilus ne se base pas que sur des scénarios fictifs. Pour en avoir le cœur net, Medispring a recueilli des témoignages de médecins et obtenu des analyses de la sécurité du dispositif d’authentification à l’épreuve. Verdict : il suffit bel et bien d’un médecin «pressé, débordé ou conciliant » pour accorder un code d’activation Helena à un patient, avec lequel il n’a aucun lien thérapeutique, sur la base d’un simple coup de fil. Pratique, certes. Notamment en période de covid, pour les patients n’ayant pas de lecteur eId et n’ayant pas le temps de passer chez leur médecin avant de prendre un avion. Mais aussi pour les diplomates et autres eurocrates ne disposant pas de carte d’identité belge (ni de médecin attitré). Helena est ainsi devenu leur moyen privilégié pour récupérer leur certificat de vaccination sur Masanté.be.

Risques de piratage

Pour plusieurs sources, ce cas d’école est surtout «dangereux». « Frank Robben a abusé de son pouvoir pour by-passer les contraintes de sécurité et favoriser une solution commerciale qui met en danger l’accès à nos données de sécurité sociale et de santé. Car les risques de piratage ou de malveillance sont loin d’être nuls. Dès lors qu’il est possible de ne pas s’authentifier pour obtenir ce code et de ne pas démontrer le lien thérapeutique entre le patient et le médecin, il est aussi possible d’usurper une identité. Toutes les personnalités publiques sont exposées. Imaginez celui qui accède aux données de santé et à l’historique des rémunérations d’Elio Di Rupo ou d’Alexander De Croo…» S’ajoutent à cela les risques de piratage, devenu monnaie courante dans les hôpitaux. Sur le «dark web», un dossier médical peut se monnayer jusqu’à 250 euros.

Les failles

Y a-t-il une volonté politique d’octroyer à une société privée un passe-droit permettant d’offrir un outil d’identification aux services de l’Etat moins sécurisé que d’autres sésames, tels que Itsme ou la carte d’identité électronique ? Non.
Y a-t-il une volonté politique de demander aux médecins de jouer le rôle des agents de l’Etat pour certifier qu’une personne est bel et bien celle qui a le droit d’accéder à un dossier médical ? Non.
Y a-t-il une volonté politique de fragiliser la confiance que s’accordent tous les acteurs de terrain de l’e-santé en favorisant la solution développée par une firme privée, sur laquelle les autorités n’ont aucun contrôle ? Non.
Y a-t-il une volonté politique de mettre en danger nos données sensibles ? Non.
Y a-t-il une volonté politique de confier systématiquement les clés de la gestion de nos données personnelles, sans débat parlementaire, à un haut fonctionnaire, devenu incontournable dans l’architecture de la vie privée des Belges ? On va finir par le croire, vraiment. Encore une fois, on peut accuser Frank Robben de « faire un coup d’Etat » dès lors que l’Etat lui-même lui permet de faire tous les coups. Ni d’« abuser » d’un pouvoir : on les lui a tous donnés en le laissant s’installer à tous les étages de l’usine à gaz de la gestion des données en Belgique. Et en fermant les yeux sur les incompatibilités légales et les conflits d’intérêts dont il est lui-même devenu le responsable. Puisqu’on lui demande d’être partout.

Aussi légitimes que soient ses intentions, que l’on devine malveillantes, au nom de la simplification administrative et de l’efficacité, un grand commis de l’Etat n’est jamais infaillible. Dans l’urgence, sous la pression d’une plainte et d’un article de presse, Frank Robben a fini par débrancher lui-même la prise d’un outil dans lequel il a visiblement des interets a supposer que le soit vrai. Les failles de sécurité heureusement mises en lumière sont en réalité celles des garde-fous démocratiques.