Connu sous le nom du DMP (Dossier Médical Partagé), le DSP (Dossier de Soins Partagé) est sa version Luxembourgeoise. Il s’agit d’un outil de centralisation des informations de santé d’un patient pour permettre un meilleur suivi global, notamment via le partage d’informations sur un espace supposé être sécurisé.
Cet article porte sur l’illusion de la sécurité, mais part de mon expérience avec l’ouverture d’un DSP au Luxembourg. Pour les personnes qui n’aiment pas le storytelling, les takeways sont plus bas dans l’article, je commence par un petit récit.
Ouverture d’un Dossier de Soins Partagés
À Luxembourg, il y a eu 2 manières, à ma connaissance, de recevoir une invitation à l’ouverture d’un DSP : après avoir suivi un parcours santé de type consultation d’un spécialiste, ou hospitalisation, le médecin peut en faire la demande pour vous ; ou plus récemment systématiquement car la chose se généralise au niveau du Grand-Duché.
J’ai donc reçu aujourd’hui un courrier de l’Agence eSanté Luxembourg me présentant l’entrée en vigueur d’un réglement Grand-Ducal dans un premier temps, puis la gratuité du service dans un second temps. Ce n’était pas sans me rappeler le hameçonnage à la sauce Caisse de Retraite qui vous font croire qu’en ouvrant une micro-entreprise en France vous avez l’obligation de souscrire à leur caisse. Même structure de texte, même sentiment d’arnaque.
Illusion de la sécurité : le courrier postal
Le premier contact se fait par courrier postal. Surprise et découverte : je n’ai jamais fait de demande pour ce type de dossier, et n’ayant aucune confiance en les outils gouvernementaux, je n’étais pas rassuré de savoir qu’un dossier avait été créé à mon nom, et déjà publié sur leur système.
Mais peu importe, la vraie question c’est : pourquoi m’envoyer un courrier avec une clé d’activation et la clé de présence —c’est la clé que vous partagez au personnel de santé pour lui donner accès à votre dossier— dans le même courrier ?
Il y a 2 jours j’ai reçu le courrier de mon voisin dans ma boîte à lettres, ce qui veut dire que potentiellement une autre personne aurait pu recevoir mes 2 codes, en même temps, par erreur.
Non, le courrier postal n’est pas une manière sécurisée de faire transiter une information supposée sécuriser un espace en ligne. Je dirais presque moins sécurisée qu’une adresse e-mail, mais ça dépend certainement de votre sensibilité vis à vis de votre propre sécurité en ligne.
Mais passons à la suite, il y a certainement une manière de sécuriser l’activation du dossier en ligne qui m’échappe pour le moment. Même si ces premières étapes ne me donnent pas confiance.
Illusion de la sécurité : Le site web esante.lu
Je tape donc https://esante.lu et je tombe sur, une page morte. Je vérifie sur le courrier reçu, il est bien mentionné esante.lu… Ah non, pardon, www.esante.lu. Cette fois cela fonctionne avec les www. On est en 2020 les loulous, il serait temps de prendre en compte ce critère ergonomique simple de rendre accessible votre site web avec ou sans www.
Connaissant techniquement ce qu’il suffit de faire pour prendre cela en charge, j’ai encore moins confiance en leur site web et la qualité du code qui est censé sécuriser mon espace santé.
Je tombe alors sur ce site web.
Je vous avoue que j’ai revérifié l’URL écrite sur mon courrier en voyant le design. Censé être un site web pour un service relativement récent, j’ai eu l’impression de tomber sur un outil datant des années 2009, à l’époque où j’ai commencé à bosser dans le domaine, ce style commençait déjà à être dépassé, et me rappelle cruellement les sites web codés avec les pieds où la sécurité laissait elle aussi à désirer.
Mais pour le moment aucun risque pour moi, je continue en cherchant l’accès Patient.
Bon point, la page d’activation m’explique les prochaines étapes, mais le fait que je puisse me connecter avec mon numéro de sécurité social et le code reçu par courrier ne me rassure pas : deux informations relativement facile à obtenir qui permettraient d’accéder à un dossier déjà disponible sur leur site.
Je demande un accès et je me fais rejeter car je n’ai pas accepter les conditions d’utilisations. Ha ! Je n’avais pas vu la case à cocher (ergonomie tout ça…). Du coup je prends le temps de lire les conditions d’utilisation… Eh oui, je suis comme ça.
La perte de sa qualité de Professionnel de santé, Patient ou Agent de Santé entraîne pour l’Utilisateur la perte de son droit d’accès respectivement comme Professionnel de santé, Patient ou Agent de Santé.
Ok, donc sur des critères propres à l’Agence de santé, en plus de me créer mon espace sans me demander mon avis, je peux prendre le risque de stocker des informations de santé en ligne, donner accès à des professionnels, et me faire jeter de mon accès selon des critères obscures. Je ne sais pas ce que ça donne d’un point de vue respect des directives européennes sur l’accès aux données me concernant, mais ça m’a fait froid dans le dos de lire cela.
Nous ne sommes clairement plus ici sur une illusion de sécurité, car il n’y a pas de risque, mais il n’y a plus d’illusion non plus, il n’y a qu’un sentiment de malaise et d’insécurité, entre le design visuel du site, les erreurs techniques et les conditions d’utilisation.
Illusion de la sécurité : l’espace privé
Je continue à avancer, parce que pour le moment je souhaite juste accéder à mon espace privé pour voir quelles données sont déjà enregistrées et diffusées sans mon accord.
Je parcours le formulaire d’entrée, plutôt simple sur les premières étapes, et je me rends compte que celui ci n’est pas accessible (cliquer sur un label ne me fait pas rentrer dans le champs à remplir), je plains les personnes en situation de handicap, que j’imagine bien plus concernées que moi par l’accès à ce type de service. Soit dit en passant : encore un site du Gouvernement Luxembourgeois pas accessible. Mais passons, je sais aujourd’hui qu’il y a des gens biens qui travaillent sur cet aspect !
La première étape propose un Captcha. Je vous laisse lire cet article sur le sujet pour m’éviter de vous résumer cela par « c’est de la merde ».
La deuxième étape me propose de taper un mot de passe. Aucun moyen de savoir ce que j’ai écrit et je me suis trompé une première fois. D’autant plus qu’à Luxembourg, tu as vite fait de passer d’un clavier AZERTY, à un clavier QWERTY ou QWERTZ. Passons à nouveau sur l’ergonomie, n’est-ce pas.
En troisième étape je dois rentrer mon numéro de téléphone pour sécuriser mon espace. Alors là c’est la grosse blague, car si je suis un « man in the middle » qui a intercepté le courrier, jusque là je peux facilement passer ces étapes en étant le « hacker ».
Je pense que je me suis trompé dans mon numéro de téléphone, car je n’ai jamais reçu de SMS. J’aurais bien vérifié quel téléphone j’ai entré, mais je ne peux pas, il est remplacé par des astérisques :
Je souhaite revenir en arrière, mais je ne peux pas non plus : ergonomie de merde sérieux !
Obligé de tout recommencer. Cette fois le numéro de téléphone semble être le bon. J’arrive à l’étape 4 « autres moyens d’authentification » qui me permet de connecter mon compte à un service fort d’authenfication double facteur. Cette étape est optionnelle…
OPTIONNELLE !? La seule étape sécurisante de votre processus est une étape optionnelle ?
Ok, je passe à l’étape suivante sans ajouter ce moyen d’authentification, car s’il est optionnel c’est clairement que tout le reste est purement illusoire. Ce site web n’est pas sécurisé. Ma seule envie est de vérifier ce qui est en ligne et le supprimer.
Dernière étape, je peux me connecter. Donc jusque là une personne qui a intercepté mon courrier peut se connecter à ma place et gérer mon espace. Puisque cette personne aura mis son numéro de téléphone et que c’est le seul moyen nécessaire mis en place pour s’authentifier.
Sur mon espace privé, je retrouve mon nom complet avec mes différents prénoms, un moyen de changer les informations déjà renseignées. Mais aucun moyen de supprimer mon espace ni ces informations.
En ouvrant mon dossier, je me rends compte que celui-ci est ouvert par défaut ce qui est en contradiction avec les informations précédentes données ci et là qui me demandaient d’activer le dossier pour l’ouvrir. J’ai donc demandé à le fermer et j’en ai profité pour demander une clôture et un retrait des informations me concernant de ce site web, comme le prévoit la réglementation.
Qu’est-ce que l’illusion de la sécurité ?
Le principe de l’illusion est de faire croire en quelque chose par les apparences pour vous leurrer, volontairement ou involontairement. On adore cela lorsqu’il s’agit de spectacles de magie, beaucoup moins lorsqu’il s’agit de mensonge sur la qualité d’un produit.
Le problème quand il s’agit de sécurité, c’est qu’une illusion vous insécurise totalement. Prenons par exemple la situation de COVID19 actuelle : certains d’entre vous portez des gants, et avez l’illusion d’être protégés grâce à eux. J’ai vu certains d’entre vous porter des gants, toucher des objets, toucher votre nez, vos yeux, retoucher votre téléphone, prendre une pomme sur une étale dans un supermarché. Au final vous pensez être protégés donc vous faites n’importe quoi et en oubliez les gestes essentiels.
Au final vous avez utilisé un pattern connu de spécialiste de santé (porter des gants), et mis de côté de qui vous protège vraiment, à savoir votre conscience, votre connaissance et votre attention aux gestes de sécurité.
Quand il s’agit de la sécurité —mais ça marche aussi dans le domaine de l’ergonomie web ou l’expérience utilisateur— il y a des patterns ou des a priori qui vous font croire en un système sécurisé (comme l’histoire des gants), mais qui appliqués n’importe comment ne sont qu’illusion. Pour reprendre l’expérience précédente, voici certains de ces a priori.
Penser que le courrier est un moyen sécurisé
« Utiliser un courrier postal permet de s’assurer de l’identité de la personne » : c’est faux. Puisque il y a plusieurs interventions humaines entre l’émission et la réception, il y a autant de risque d’erreur, ou de « man in the middle » qui intercepterait la communication.
De même faire transiter en même temps un identifiant et un mot de passe, ou ici un code d’activation qui est le seul nécessaire pour s’authentifier est un très gros risque.
Alors comment fallait-il faire pour sécuriser à cette étape ?
- Éviter le courrier reste le plus simple. Votre service est en lien direct avec un besoin de partage des informations de santé. Passer par un personnel de santé et une présence physique de la personne qui bénéficie des soins semble être le plus optimal : contrôlez l’identité de la personne, renseignez son numéro de téléphone et son adresse e-mail, donnez lui un code d’accès, et le tour est joué.
- Si le courrier est le seul moyen d’atteindre certaines personnes, proposez un identifiant et un mot de passe dans des courriers séparés. Cela limitera le risque « man in the middle« .
- Si vous pouvez combiner ces deux informations avec une information que seul le destinataire supposé connait, c’est encore mieux. Il devra alors l’utiliser en combinaison des 2 autres informations pour se connecter (au moins la première fois).
Penser que demander un numéro de téléphone est suffisant
Lorsque vous souhaitez mettre en place une double authentification par téléphone, demander le numéro de téléphone alors que vous n’êtes pas certain de l’identité de la personne est contre-productif. En effet, dans mon récit d’expérience précédent, partant du principe qu’une tierce personne a intercepté mon courrier, demander un numéro de téléphone à cette personne ne sert à rien, elle ne me rendra pas accès à mon espace alors volé.
Alors comment fallait-il faire pour sécuriser cette étape ?
- Si l’étape précédente (première connexion) permet d’assurer l’identité de la personne, vous êtes libres de demander un numéro de téléphone.
- Si ce n’est pas le cas, il faut arriver à collecter cette information lorsque vous pouvez vous assurer de l’identité de la personne, dans notre exemple :
- lors d’une consultation médicale par exemple,
- grâce aux données que le Gouvernement possède déjà (c’est un service national)
- grâce à l’authentification Luxtrust (un système de token unique local)
L’expérience utilisateur et la sécurité
Une autre chose que vous avez certainement remarqué lors de mon expérience avec eSanté était mes doutes initiaux et ma perte de confiance au fur et à mesure du parcours. Plusieurs choses ont perturbé mon parcours et érodé ma confiance :
- Le courrier ressemblait à un scam (une arnaque),
- Le courrier me présentait le dossier comme déjà ouvert, créant une sensation de perte de contrôle de données m’appartenant (Fear of missing out)
- Le courrier est arrivé sans que je fasse la demande explicite d’un service.
- Le site web n’était pas accessible sans www. Ce problème technique me fait dire que l’aspect code n’est pas maitrisé par les personnes qui ont produit le site web. Ne pas mettre en œuvre une chose aussi simple techniquement ne me rassure pas sur le prise en charge de l’aspect sécurité d’un point de vue code, qui demande beaucoup d’attention et une grosse expertise.
- L’aspect du site web qui te donne l’impression d’être resté en 2009 est important aussi : qu’on soit clair sur le sujet, l’apparence d’un site web ne joue pas sur sa qualité technique ou la sécurité, je parle ici uniquement de la sensation et de l’impression global. L’aspect joue clairement sur la confiance que l’utilisateur peut porter en un service, mais on va dire que c’est un biais de designer, je le prends sur moi 😉
- L’étape 4, cette étape qui est la seule sécurisante dans le processus est optionnelle. Je n’en dis pas plus là dessus, c’est totalement inadmissible.
- Je me suis trompé 1 fois dans le formulaire, j’ai dû recommencer l’ensemble des étapes précédentes. Rien à voir avec la sécurité, bien que ça peut jouer à l’étape de choix de mot de passe : un utilisateur exaspéré a plus de chance de faire des erreurs. Et refaire un truc qu’on a déjà fait est exaspérant.
- Une fois connecté il m’est précisé que mon dossier est déjà ouvert : aux étapes précédentes le site me disait que mon dossier n’étais pas ouvert par défaut. Un mensonge a tendance à retirer toute confiance. C’est le cas ici.
Les gens parlent
Un ami m’a dit avoir activé son dossier et n’avoir jamais réussi à l’utiliser pour y glisser des documents. D’après ce qu’il m’a dit, aucun médecin n’a jamais réussi à l’utiliser non plus puisqu’il n’a jamais retrouvé aucun document dedans.
Pour moi c’est parfait : un projet qui a certainement dû coûter beaucoup d’argent à Grand-Duché et qui n’est ni accessible ni suffisant ergonomique pour être utilisable, et qui en plus n’est pas sécurisé. Je ne perds rien à avoir demandé la fermeture du dossier et la suppression de mes données personnelles.
Je suis persuadé que ce projet de dossier médical centralisé peut être d’une précieuse aide pour la transmission d’informations entre les professionnels de santé, mais avec un tel projet pilote, fort à parier que l’adoption et les évolutions vont être très compliquées.
Quand tu sais que les premières versions du DSP te permettaient toi même de voir les droits sur ton utilisateurs et les autres … Tu as tout compris. La dessus PwC nous a gâté avec du travail digne de l’État de l’art.
Sans aller plus loin dans l’utilisation qui est encore plus catastrophique que tout ce que tu as décris ici, je crois que tu as oublié un truc qui m’as choqué, c’est que pour un truc « nouveau », lorsque tu tombe sur le site esanté, on te dis que le DSP a déménagé. Genre même pas une redirection. Tu dois cliquer sur un lien. Ca aurait pu être transparent mais non. Un clic de plus.
Merci pour ton complément d’info 🙂
En effet je n’ai pas eu le message du déménagement, mais ça reste pas super user-friendly et carrément rebutant même.