Comme nous l’avons vu il y a quelques temps, la grande majorité des orthophonistes est aujourd’hui équipée d’un ordinateur à usage professionnel, sur lequel est au moins installé un logiciel de gestion et de télétransmission. Et qui dit logiciel de télétransmission, dit informations sur les patients, et donc fichier informatique à déclarer à la CNIL.
Or il se trouve que la personne responsable de ce fichier informatique, c’est à dire vous, est aussi obligée de par la loi à prendre toutes les mesures requises contre sa destruction accidentelle ou non autorisée, sa perte accidentelle ou sa modification. Elle se doit également de sécuriser l’accès aux données et de garantir leur intégrité par rapport à d’autres éventuels traitements non autorisés. (Source)
C’est ce dernier point que je souhaitais aborder avec vous ce soir. Il est en effet indispensable que vous preniez des mesures de précautions élémentaires pour protéger les données de vos patients (et les vôtres également par la même occasion).
Configurer un mot de passe au démarrage de votre ordinateur
La première mesure incontournable est la configuration d’un mot de passe au démarrage de votre machine. Si quelqu’un s’introduit dans votre bureau, il ne doit pas pouvoir être en mesure d’accéder facilement à vos données. Cela parait évident, mais je connais bon nombre d’orthophonistes qui ne l’ont pas (encore) fait.
Sous Windows 7 (et certainement les versions antérieures de Windows encore en service, à savoir Vista et XP) le menu se trouve dans : panneau de configuration > comptes utilisateurs > modifier votre mot de passe Windows.
Certains ordinateurs sont également équipés d’un lecteur d’empreinte digitale.
Configurer un mot de passe à l’ouverture de votre logiciel de gestion
De la même manière, vous pouvez configurez un mot de passe supplémentaire qui permet le lancement de votre logiciel de gestion (et en mettre un autre au lancement de l’application iPad/iPhone liée à votre logiciel de gestion).
Crypter les données sur les supports externes
Si vous faites des sauvegardes de vos données (compte-rendus de bilan par exemple) il faut faire en sorte qu’en cas de perte ou de vol de votre clé usb ou disque dur externe (petits et donc plus faciles à faire disparaitre) la personne qui mettra la main sur votre support de données ne pourra pas lire ces dernières.
Pour cela il suffit tout simplement d’installer un logiciel de cryptage, comme par exemple TrueCrypt (voir les conseils d’Orthophonie Libre dans les commentaires de ce billet) ou de configurer votre logiciel de sauvegarde pour qu’il le fasse lui-même (onglet « archive dans Cobian Backup). Là encore, un mot de passe vous sera demandé lorsque vous connecterez le support externe à votre ordinateur.
Préserver la confidentialité de vos mots de passe et codes PIN
Ne laissez pas un post-it à côté de votre ordinateur avec le code porteur de votre CPS !! Dans la théorie votre CPS ne devrait d’ailleurs pas rester dans votre lecteur en permanence, mais devrait être rangée en lieu sûr lorsque vous ne vous en servez pas.
Si quelqu’un s’empare de votre CPS et de votre code porteur qui sait ce qu’il pourrait en faire…
Si vous avez peur de ne pas retenir le code porteur de votre CPS sachez que vous pouvez le changer (contacter l’assistance technique de votre logiciel de gestion pour savoir comment le faire).
Choisir un mot de passe robuste
Comme cela a été signalé dans les commentaires de ce billet, il est important de choisir des mots de passes robustes :
- avec 8 caractères au minimum
- contenant des minuscules, des majuscules, des chiffres et des caractères spéciaux,
Plus de données à ce sujet ici.
Protéger vos appareils mobiles
Si vous possédez un smartphone, vous l’avez très certainement configuré pour pouvoir accéder à votre messagerie électronique et éventuellement à votre agenda. De plus vous avez peut-être quelques numéros de patients dans votre carnet de contacts.
Là encore, il va donc falloir mettre en place un code de déverrouillage lorsque votre téléphone sort de veille.
Pour tout vous dire je ne l’avais pas fait sur mon premier smartphone et je me le suis fait voler en soirée (avec tout le reste du contenu de mon sac à main). Les petits malins ont passé quelques heures à appeler l’ensemble des contacts féminins de mon carnet d’adresse. Je peux vous dire que cela m’a bien refroidie (et pourtant aucune donnée professionnelle n’y était stockée).
Pensez tout simplement à votre boîte mail sur laquelle vous recevez des messages reprenant les mots de passe que vous utilisez fréquemment…
Il existe plusieurs sortes de codes de déverrouillage allant d’un code à 4 chiffres à un mot de passe alphanumérique en passant par un schéma de verrouillage (sous android par exemple).
Sous iOs (pour les iphones et les ipad) vous pouvez également installer l’application « localiser mon iPhone » et configurer iCloud pour pouvoir le cas échéant localiser votre appareil, et si nécessaire en effacer toutes les données à distance.
Des contraintes indispensables
Configurer et retenir tous ces mots de passe peut paraître contraignant mais il s’agit vraiment d’une protection de base de vos données, et surtout de celles de vos patients.
Je vous rappelle que vous pouvez tout à fait être poursuivi en justice par des patients si leurs données se retrouvaient dans la nature et que vous n’aviez visiblement rien fait pour les protéger (comment le prouver ensuite dans un sens ou dans l’autre ça par contre je ne le sais pas, il faudrait demander à un juriste).
Mais une protection qui reste relative
Sachez enfin que si quelqu’un cherche vraiment à accéder à vos données il pourra toujours trouver un moyen de contourner les mesures de protection que vous aurez mises en place (pensez à toutes les fictions que vous avez pu lire ou voir).
Ce qui est surtout important c’est qu’un utilisateur lambda ne puisse pas accéder facilement.
Ex : vous laissez tomber votre clé usb dans la rue, quelqu’un (qui n’est pas forcément mal intentionné) la ramasse et la branche sur son ordinateur. Il est hors de question qu’il puisse lire vos compte-rendus de bilan ! Par contre c’est moins gênant s’il formate le disque (=efface toutes les données) et l’utilise ensuite pour son propre compte.
Et vous ? Protégez-vous déjà vos données ?
- Si oui, comment ?
- Si non, vous ai-je convaincu de prendre 5 minutes pour configurer tous ces mots de passe ?
(Auteur du pictogramme : Sergio Palao Provenance: ARASAAC (http://catedu.es/arasaac/ Licence: CC (BY-NC-SA)).
Edit du 27 mai : lien vers le logiciel TrueCryp, ajout d’un paragraphe sur le choix d’un mot de passe