Le procureur général James obtient 350 000 dollars de la part d'une société de soins à domicile de Long Island pour n'avoir pas protégé les données des patients et des employés

NEW YORK - Le procureur général de New York, Letitia James, a obtenu aujourd'hui 350 000 dollars de la part d'une société de soins de santé à domicile basée à Long Island, Personal Touch Holding Corporation (Personal Touch), pour ne pas avoir protégé les informations personnelles et les données médicales de New Yorkais vulnérables. La mauvaise sécurité des données de Personal Touch l'a rendue vulnérable à une attaque de ransomware qui a compromis les informations personnelles et médicales d'environ 316 845 New-Yorkais. Les manquements de Personal Touch en matière de sécurité des données ont violé à la fois la législation de l'État et la loi fédérale sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), qui exigeait de Personal Touch qu'elle adhère à des pratiques spécifiques de protection des données. À la suite de l'accord conclu aujourd'hui, Personal Touch a accepté de payer 350 000 dollars de pénalités à l'État de New York, de mettre à jour et d'améliorer son infrastructure de cybersécurité et d'offrir aux personnes concernées des services gratuits de surveillance du crédit et de lutte contre l'usurpation d'identité. En outre, le procureur général James a obtenu 100 000 dollars d'un fournisseur de logiciels d'assurance pour avoir compromis les données des employés de Personal Touch.

"Les établissements de santé ont la responsabilité de préserver le bien-être des New-Yorkais, mais aussi de protéger leurs informations confidentielles et privées", a déclaré le procureur général James. "Les failles de sécurité de Personal Touch ont causé un stress excessif et des problèmes financiers à des New-Yorkais qui voulaient simplement avoir accès à des soins de santé de haute qualité. Mon bureau interviendra toujours et tiendra les entreprises pour responsables si leur négligence met en péril les informations privées des New-Yorkais.

Personal Touch est la société mère de filiales qui exploitent des services de santé à domicile, de soins à domicile et de soins palliatifs à domicile certifiés par Medicare dans tout le pays, notamment à New York, Westchester et Long Island. En janvier 2021, un employé de Personal Touch a ouvert un fichier infecté par un logiciel malveillant joint à un courriel d'hameçonnage qui a permis à un pirate d'accéder au réseau de Personal Touch et de collecter des dossiers de patients et d'employés à partir d'un serveur non crypté. Ces dossiers remontaient à plusieurs dizaines d'années et contenaient des informations personnelles et médicales confidentielles, notamment les noms, adresses, numéros de sécurité sociale, traitements médicaux et informations financières de milliers de personnes.

L'enquête de l'Office of the Attorney General (OAG) a révélé que Personal Touch n'avait pas mis en place des mesures raisonnables de sécurité des données pour protéger les données des patients et des employés. Le programme de sécurité de l'information et de gestion des risques de Personal Touch était informel et immature. La formation du personnel en matière de sécurité était insuffisante, les contrôles d'accès médiocres, l'absence de système de surveillance continue et le cryptage des données personnelles et médicales n'était pas assuré.

Au cours de l'enquête du BVG, Personal Touch a été informée d'une violation par un tiers des informations personnelles de ses employés, y compris des numéros de sécurité sociale. Personal Touch avait fourni ces données à son courtier d'assurance, qui les avait transmises à un fournisseur de logiciels d'inscription, Falcon Technologies, Inc. (Falcon), qui les avait placées sur un site non sécurisé. Personal Touch n'avait conclu aucun accord avec son courtier d'assurance concernant les normes de sécurité des données applicables aux informations personnelles non couvertes par la loi HIPAA. L'OAG a obtenu un accord séparé avec Falcon pour ne pas avoir sécurisé ces informations. Selon les termes de l'accord conclu entre Falcon et l'OAG, Falcon doit payer 100 000 dollars de pénalités à l'État de New York et s'assurer de l'utilisation du cryptage et des contrôles d'accès appropriés lors du traitement des informations privées. 

En vertu de l'accord conclu aujourd'hui, Personal Touch paiera 350 000 dollars de pénalités et offrira aux consommateurs concernés des services gratuits de protection contre le vol d'identité et de récupération. En outre, Personal Touch devra améliorer son programme de sécurité de l'information et mettre en œuvre des mesures de protection pour mieux protéger les informations personnelles et médicales de ses employés et de ses patients :

• Maintenir un programme complet de sécurité de l'information qui comprend des évaluations régulières des risques, des tests et des contrôles réguliers des mesures de protection existantes et des mises à jour régulières du programme de sécurité de l'information ;
• Maintenir des procédures raisonnables de contrôle d'accès et d'authentification ;
• Cryptage des informations personnelles et de santé ;
• Mise en œuvre d'un système d'enregistrement et de surveillance continus, de protections anti-malware, d'une solution de détection et de prévention des intrusions et d'une solution de filtrage des courriels et de lutte contre le hameçonnage ; 
• Élaborer un programme de gestion des vulnérabilités comprenant une analyse régulière des vulnérabilités et des tests de pénétration ;
• mettre à jour ses pratiques en matière de collecte, de conservation et d'élimination des données afin de garantir que les informations personnelles et de santé ne sont conservées que dans la mesure minimale nécessaire à la réalisation d'objectifs commerciaux légitimes ;
• Organiser une formation annuelle des employés en matière de sécurité ; et
• Établir des procédures raisonnables de gestion des fournisseurs. 

L'accord conclu aujourd'hui s'inscrit dans la continuité des efforts déployés par le procureur général James pour protéger les informations personnelles des New-Yorkais et tenir les entreprises responsables de leurs mauvaises pratiques en matière de sécurité des données. La semaine dernière, l'Attorney General James et une coalition de plusieurs États ont obtenu 49,5 millions de dollars de la part d'une société d'informatique dématérialisée, Blackbaud, à la suite d'une violation massive de données qui a touché des milliers d'organisations à but non lucratif. En septembre, le procureur général James a conclu un accord avec le Marymount Manhattan College pour investir 3,5 millions de dollars dans la protection des données en ligne des étudiants. En mai dernier, le procureur général James a obtenu 300 000 dollars de Sports Warehouse pour ne pas avoir protégé les données de 2,5 millions de clients. Toujours en mai, le procureur général James a récupéré 550 000 dollars auprès d'une société de gestion médicale qui n'avait pas protégé les données de ses patients. En avril, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. En décembre 2022, l'Attorney General James a obtenu 200 000 dollars de la part du producteur de casquettes et de blouses d'étudiants Herff Jones pour n'avoir pas protégé les informations personnelles des consommateurs. En octobre 2022, le procureur général James a annoncé un accord de 1,9 million de dollars avec le propriétaire de SHEIN et Zoetop pour n'avoir pas géré correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs. En juin 2022, l'Attorney General James a obtenu 400 000 dollars de Wegmans et a exigé que le détaillant améliore la sécurité du stockage des données après qu'une violation de données ait exposé les informations personnelles des consommateurs. En mars 2022, l'Attorney General James a publié une alerte aux consommateurs conseillant aux clients de T-Mobile de prendre les mesures appropriées pour protéger leurs informations personnelles à la suite d'une violation de données.

Cette affaire a été traitée par les procureurs généraux adjoints Hanna Baek et Jina John, avec l'assistance spéciale de l'ancien analyste de l'Internet et de la technologie Joe Graham, sous la supervision du chef de bureau adjoint Clark Russell et du chef de bureau Kim Berger. Le Bureau de l'internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le procureur général adjoint Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.