Les syndicats représentant les technologues en information au sein de la Régie de la santé de la Saskatchewan s’inquiètent du récent rapport d’enquête publié par le commissaire à l’information et à la protection de la vie privée de la Saskatchewan et du plan en cours pour que la Régie transfère à eHealth tous ses actifs informatiques (à l’exception de la santé numérique), y compris ses employés.
« À ce jour, il y a eu beaucoup trop de questions sans réponse », raconte Barbara Cape, présidente du SEIU-West. « Nous découvrons maintenant, dans le rapport de M. Ron Kruzeniski, que le conseil d’administration et la direction d’eHealth sont désemparés. Nous savons que ce n’est pas la première fois que le CA d’eHealth est dissous par le gouvernement du Parti saskatchewanais. La même chose a eu lieu en 2018. Le ministère de la Santé a aussi fait des changements au sein de la haute direction de l’organisation. Pour assurer la protection de nos membres et la sécurité des renseignements privés sur la santé de tous les Saskatchewanais, nous croyons qu’il faut endiguer le chaos et laisser passer une période significative de stabilité avant d’envisager le transfert de précieux services informatiques hors du contrôle de notre régie provinciale. Il faut absolument rétablir la confiance. »
Les dirigeants du SEIU-West et de la section locale 5430 du SCFP ne sont pas convaincus qu’eHealth est en mesure de subvenir aux besoins de la Régie en systèmes informatiques, en soutien et en communications. Ils ne croient pas non plus que cette idée que la Régie délaisse ses responsabilités améliorera les contrôles et la surveillance de l’accès au réseau informatique ou que la mise à l’essai des plans de reprise après sinistre en sera améliorée. La récente enquête et les recommandations formulées renforcent les inquiétudes persistantes des employés de la Régie qui seraient mutés chez eHealth.
À l’heure actuelle, la Régie de la santé de la Saskatchewan et le ministère de la Santé conservent la garde et la responsabilité de leurs services informatiques avec l’obligation explicite de protéger ces informations. Le rapport de M. Kruzeniski confirme cette obligation de surveillance. Selon les syndicats, celle-ci devrait prévaloir à titre de pratique exemplaire.
« Plus que jamais auparavant, il est temps de faire une pause et de réfléchir longuement à la situation dans son ensemble », estime la présidente de la section locale 5430 du SCFP, Sandra Seitz. « Le commissaire à la protection de la vie privée dénote un manque de responsabilité et de transparence de la part de toutes les parties dans le signalement et la gestion de cette atteinte à la vie privée et de cette attaque par rançongiciel. Il nous apparaît donc évident qu’on doive réévaluer la décision de transférer l’ensemble des actifs à eHealth, au terme de l’examen indépendant de la gouvernance, de la gestion et des programmes d’eHealth que le ministère de la Santé devra réaliser. »
Les employés informatiques de la Régie de la santé de la Saskatchewan et leurs représentants syndicaux sont engagés dans des pourparlers de restructuration sans fin depuis 2018.
« Le moment est venu de se pencher sur les vrais problèmes, estime Mme Seitz, au lieu de s’obstiner à vouloir entasser tous les actifs dans une organisation qui n’a pas démontré qu’elle dispose de processus et de politiques de cybersécurité responsables, de mesures de surveillance et de contrôle efficaces, d’économies d’échelle ou de réponse adéquate aux incidents. Nous reconnaissons également que l’investissement du gouvernement dans l’infrastructure informatique laisse à désirer depuis de nombreuses années. En combinant plusieurs systèmes informatiques vieillissants, on court exprès après ce genre de catastrophe. »
Mme Cape est d’accord : « Malgré de graves avertissements, des fuites de renseignements privés et les récentes attaques par rançongiciel, notre gouvernement ne considère pas la sécurité des renseignements de santé personnels comme une priorité. Cela dit, nous devons un grand merci aux employés d’eHealth et de la Régie de la santé de la Saskatchewan qui font de leur mieux pour maintenir l’intégrité de nos systèmes informatiques dans un environnement obsolète où la surveillance est déficiente. »
Le SEIU-West et le SCFP représentent les fournisseurs de soins de santé, y compris ceux qui travaillent aux services informatiques, dans neuf des anciennes régies régionales de la santé.