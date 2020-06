La vérificatrice générale, Guylaine Leclerc, s’inquiète du risque d’une mauvaise utilisation des données confidentielles entre les mains de la Régie de l’assurance maladie du Québec (RAMQ) et de Retraite Québec. Le contrôle des activités du personnel de ces deux organisations, qui possèdent des accès informatiques privilégiés à ces renseignements, est insuffisant, estime-t-elle.

Tout d’abord, la RAMQ et Retraite Québec ne vérifient pas systématiquement les antécédents judiciaires des leurs employés, ce qui est un problème, selon elle. Par ailleurs, elles ne révisent pas suffisamment les accès privilégiés aux données personnelles, ne surveillent pas étroitement leur téléchargement et n’effectuent pas adéquatement le suivi des alertes de sécurité automatisées et des journaux.

« La supervision doit être renforcée lorsque le personnel ayant des accès privilégiés télécharge des données confidentielles, et ce, tant à la RAMQ qu’à Retraite Québec », fait valoir Mme Leclerc dans un rapport déposé à l’Assemblée nationale, mercredi. « Actuellement, les utilisateurs n’ont pas toujours besoin d’obtenir l’autorisation de leur gestionnaire avant de procéder au téléchargement, et les gestionnaires n’effectuent pas de suivi systématique sur ce qui a été téléchargé », souligne-t-elle.

Des lacunes dans la gestion des identités et des accès exposent la RAMQ et Retraite Québec, et tout autre organisme, à un risque d’utilisation illicite d’un accès après le départ d’un employé, un risque de destruction ou de modification de données sans autorisation, un risque de fuite de données confidentielles et un risque d’usurpation des accès par une personne non autorisée.

Les banques de données de la RAMQ contiennent des renseignements personnels sur quelque 8 millions de personnes couvertes, dont leurs noms, leurs numéros d’assurance maladie et leurs numéros d’assurance sociale. Elles renferment aussi les médicaments prescrits aux 3,7 millions de participants au Régime public d’assurance médicaments et aux prestataires de la Commission des normes, de l’équité, de la santé et de la sécurité du travail (CNESST) ainsi que le salaire versé aux professionnels de la santé.

Les banques de données de Retraite Québec, qui administre le Régime de rentes du Québec, les régimes de retraite du secteur public et l’Allocation famille, contiennentƒ les revenus des Québécois,ƒ leur situation familiale, en plus des renseignements médicaux des individus admissibles à des rentes d’invalidité.