MENA Newswire , LOS ANGELES : Epic Systems et plusieurs établissements de santé américains ont déposé une plainte fédérale contre Epic Systems. Ils accusent un réseau d'information sur la santé et des sociétés apparentées d'avoir accédé indûment à près de 300 000 dossiers médicaux de patients et de les avoir monétisés par l'entremise de systèmes nationaux de partage de données destinés aux soins. La plainte précise que ces dossiers ont été obtenus sans le consentement des patients et contenaient des renseignements sensibles tels que leurs noms, diagnostics, traitements médicamenteux et résultats d’analyses.
La poursuite a été déposée le 13 janvier devant la Cour de district des États-Unis pour le district central de la Californie. Elle vise Health Gorilla Inc., une société californienne facilitant l'accès aux réseaux d'échange de dossiers médicaux, ainsi que plusieurs entités affiliées ou clientes. Epic, un important fournisseur de logiciels de dossiers médicaux électroniques basé au Wisconsin, affirme que les agissements reprochés consistent en un détournement des voies d'interopérabilité utilisées par les hôpitaux, les cliniques et autres organismes de soins.
Selon la plainte, les défendeurs ont obtenu des dossiers en se faisant passer pour des professionnels de la santé légitimes ou en utilisant leurs identifiants pour demander des données à des fins de soins. Les plaignants affirment que ces pratiques d'accès étaient incompatibles avec les soins cliniques courants et que les données ont ensuite été utilisées à des fins non thérapeutiques. La plainte indique que ces agissements ont porté atteinte à la confidentialité des données des patients et ont engendré des coûts d'enquête et de protection pour Epic et les établissements de santé participants.
La plainte décrit des méthodes coordonnées de transfert de dossiers médicaux depuis les réseaux d'échange vers des usages ultérieurs sans lien avec les soins médicaux. Selon un exemple, une entreprise aurait été validée comme fournisseur ayant besoin de dossiers pour faciliter la prise en charge des patients, puis ces informations auraient été transmises à une autre entité qui, toujours selon la plainte, vendrait des dossiers médicaux à des avocats à la recherche de victimes potentielles dans le cadre de litiges liés à des diagnostics spécifiques. La plainte allègue également le recours à plusieurs entités pour traiter un volume important de demandes malgré un renforcement des contrôles.
Les allégations portent sur l'utilisation abusive des canaux d'interopérabilité.
Parmi les plaignants figurent Epic et plusieurs organismes de santé, dont OCHIN, Reid Health, Trinity Health et UMass Memorial Health, qui, selon la plainte, ont été affectés par l'accès à des dossiers médicaux provenant de membres de la communauté d'utilisateurs d'Epic. Epic a également indiqué que l'ampleur du problème pourrait dépasser le cadre de sa clientèle, alléguant qu'un nombre indéterminé de dossiers supplémentaires pourraient avoir été volés à des organismes à travers le pays, notamment au ministère des Affaires des anciens combattants des États-Unis et auprès de fournisseurs utilisant d'autres systèmes de dossiers médicaux électroniques.
Dans les documents déposés et les déclarations connexes, Health Gorilla est décrite comme un acteur de l'infrastructure moderne d'échange de données de santé, notamment en lien avec les cadres d'interopérabilité nationaux. La plainte allègue que ces mécanismes ont été exploités au moyen de procédures d'attestation et de validation irrégulières, permettant à certaines entités de demander et de récupérer des dossiers. Elle allègue également que certains défendeurs ont inséré des renseignements inexacts ou superflus dans les dossiers, ce qui a entraîné des charges administratives et soulevé des inquiétudes quant à la sécurité des patients.
La plainte vise à obtenir une injonction interdisant aux défendeurs d'accéder aux dossiers médicaux des patients par les systèmes d'échange en cause et exigeant la destruction de tous les dossiers obtenus par les méthodes prétendument illicites. Les plaignants réclament également des dommages-intérêts, invoquant un préjudice à leur réputation et les frais liés à l'enquête sur cet accès, aux réponses apportées aux préoccupations des organisations concernées et à la mise en place d'outils et de mesures de protection visant à prévenir de tels incidents. Epic s'est refusé à tout commentaire public, se contentant de reprendre sa position exprimée dans les documents déposés au dossier.
Le géant de la santé conteste les accusations alors que l'affaire est portée devant les tribunaux.
Health Gorilla a nié les allégations et a dit qu'elle avait l'intention de se défendre. Dans des déclarations publiques rapportées lors de la couverture médiatique du dépôt de plainte, la société a indiqué avoir collaboré avec Epic lorsque des inquiétudes ont été soulevées concernant les activités de certaines entités et a rejeté les accusations selon lesquelles elle aurait permis une utilisation abusive des données des patients. Les autres défendeurs cités dans la plainte n'ont pas fait de commentaire public immédiatement dans la période initiale suivant le dépôt de la plainte.
Cette affaire survient dans un contexte de surveillance accrue des flux de données de santé au sein des réseaux conçus pour faciliter la coordination des soins, les orientations et l'accès rapide aux dossiers médicaux. Les initiatives d'interopérabilité américaines ont certes permis aux professionnels de la santé d'accéder plus facilement aux dossiers entre établissements, mais cette même ampleur et le même niveau d'automatisation peuvent aggraver les conséquences d'un accès non autorisé en cas de défaillance des contrôles ou d'utilisation abusive d'identifiants. La plainte présente ce litige comme un test des mécanismes de protection, de vérification et de responsabilisation au sein des systèmes d'échange d'informations sur la santé interconnectés.
Les dossiers judiciaires identifient l'affaire comme Epic Systems Corporation contre Health Gorilla Inc., numéro de dossier 2:26-cv-00321, devant le tribunal du district central de la Californie . La plainte énonce les griefs des plaignants fondés sur des principes juridiques fédéraux et provinciaux relatifs à la confidentialité des données des patients et à l'accès abusif présumé à des informations de santé protégées. Les défendeurs auront la possibilité de répondre devant le tribunal, et les premières audiences devraient porter sur les demandes d'injonction et la préservation des preuves relatives à l'accès contesté aux dossiers.
L'article « Une plainte allègue qu'un réseau de données sur la santé a accédé illégalement à des dossiers » a été initialement publié sur Washington DC Daily .