Les appels ont commencé à arriver la semaine dernière. Des Calgariens inquiets nous ont contactés après avoir découvert que leurs informations médicales privées pourraient circuler entre des mains non autorisées. Ce qui a commencé comme des incidents isolés s’est rapidement transformé en ce qui pourrait être l’une des violations de confidentialité sanitaire les plus préoccupantes que notre ville ait connues depuis des années.
Deux résidents de Calgary qui ne se sont jamais rencontrés se sont retrouvés liés par une coïncidence alarmante. Les deux ont reçu des appels de personnes inconnues qui possédaient des informations détaillées sur leurs antécédents médicaux, leurs médicaments sur ordonnance et même leurs récentes visites chez le médecin.
« J’ai eu l’impression que quelqu’un était entré par effraction chez moi, » confie Maryanne Thornton, une enseignante retraitée du quartier Beltline. « Cette personne savait quels médicaments je prenais, quand j’avais vu mon spécialiste pour la dernière fois, et même des détails sur une intervention que j’avais planifiée. Comment est-ce possible? »
L’autre résident, qui a demandé l’anonymat en raison de préoccupations persistantes concernant sa vie privée, a vécu une expérience similaire. « Ils ont appelé en prétendant être de ma compagnie d’assurance, mais quelque chose semblait suspect. Ils en savaient trop, posaient des questions étranges. Quand je les ai pressés de s’identifier, ils ont raccroché. »
Alberta Health Services (AHS) a confirmé hier qu’ils enquêtent sur ce qui semble être un « accès non autorisé potentiel » aux dossiers des patients, bien qu’ils aient pris soin de ne pas le qualifier de violation confirmée jusqu’à la conclusion de leur enquête.
Ce ne serait pas la première fois que le système de santé de Calgary fait face à des problèmes de confidentialité. En 2019, la province a traité plusieurs incidents à plus petite échelle où des employés ont accédé de façon inappropriée à des informations de santé. Mais les experts en cybersécurité avec qui j’ai parlé suggèrent que cette situation pourrait être différente.
« Le schéma ici suggère quelque chose de plus systématique, » explique Dre Sarah Wilkinson, professeure en cybersécurité à l’Université Mount Royal. « Les violations commises par des employés individuels n’entraînent généralement pas de contact externe coordonné avec les patients. Cela présente les caractéristiques soit d’une importante violation interne, soit potentiellement d’un piratage externe. »
Le moment ne pourrait être pire pour AHS, déjà sous surveillance publique en raison des pressions sur le système de santé et des défis en matière de personnel. Lorsque j’ai demandé un commentaire au bureau du ministre de la Santé Jason Copping, ils ont fourni une déclaration reconnaissant l’enquête mais soulignant qu’il est « prématuré de tirer des conclusions sur l’étendue ou la nature de toute violation potentielle. »
Pour les personnes touchées, une telle prudence offre peu de réconfort.
Le Service de police de Calgary a confirmé avoir reçu plusieurs signalements liés à des contacts suspects impliquant des informations médicales. Le détective James Harrison de l’Unité de cybercriminalité du CPS m’a dit qu’ils « enquêtent activement sur ces signalements et coordonnent leurs efforts avec le bureau de la confidentialité d’AHS. »
Le Commissariat à l’information et à la protection de la vie privée de l’Alberta a également été informé, comme l’exige la loi pour toute violation potentielle d’informations de santé.
Ce qui est particulièrement préoccupant, c’est la façon dont ces informations seraient utilisées. Plusieurs personnes rapportent que les appelants ont tenté d’extraire des détails personnels supplémentaires ou des informations financières sous divers prétextes.
« Ils en savaient assez sur moi pour être convaincants, » dit Thornton. « Si ma fille ne m’avait pas mise en garde contre ce genre d’arnaques, j’aurais peut-être donné ce qu’ils demandaient. »
Je couvre les questions de santé à Calgary depuis près d’une décennie, et l’intersection entre la confidentialité médicale et la cybersécurité n’a jamais été aussi pertinente. Nos systèmes médicaux se sont rapidement numérisés, créant des gains d’efficacité mais aussi de nouvelles vulnérabilités.
Dre Wilkinson note que les données de santé sont particulièrement précieuses sur les marchés illicites. « Les dossiers médicaux se vendent beaucoup plus cher que les informations de carte de crédit sur le dark web, » explique-t-elle. « Ils contiennent tout ce qui est nécessaire pour le vol d’identité, plus des informations qui peuvent être utilisées pour la fraude à l’assurance ou l’extorsion. »
Pour les Calgariens inquiets au sujet de leurs propres informations, AHS a établi une ligne d’assistance dédiée (403-955-HELP) pour signaler les contacts suspects liés aux informations médicales. Ils conseillent à toute personne contactée par quelqu’un prétendant avoir ses informations de santé de:
• Ne fournir aucune information personnelle supplémentaire
• Enregistrer les détails de l’appel ou du contact
• Signaler immédiatement l’incident à AHS et à la police
• Surveiller les relevés financiers et les rapports de crédit pour toute activité inhabituelle
Alors que les enquêtes se poursuivent, cette situation met en lumière les défis croissants de protection des informations sensibles dans notre système de santé de plus en plus connecté. La commodité des dossiers numériques s’accompagne de responsabilités que nos institutions doivent prendre au sérieux.
Ayant couvert le système de santé de l’Alberta à travers de nombreuses transformations, j’ai vu comment les préoccupations de confidentialité passent souvent au second plan par rapport à d’autres priorités. Peut-être que cet incident servira de signal d’alarme nécessaire pour prioriser la sécurité des informations les plus sensibles des Calgariens.
Jusqu’à la conclusion de l’enquête, l’ampleur complète de cette violation potentielle reste inconnue. Mais pour ceux déjà touchés, les dommages à leur sentiment de vie privée et de sécurité sont déjà faits.
Comme Thornton me l’a dit avant que nous terminions notre conversation, « Je continue à me demander – qu’est-ce qu’ils savent d’autre sur moi? Et qu’est-ce qu’ils vont en faire? »
