Les données médicales de près de 500 000 Français en fuite sur la Toile
Grosse fuite de données médicales pour près de 500 000 patients Français. La CNIL rappelle à l’ordre les organismes concernés.
491 840, c’est le nombre de patients français dont les données médicales ont fait l’objet d’une fuite sur Internet. Parmi les informations concernées, des numéros de sécurité sociale, des adresses postales, des numéros de téléphone ou des adresses e-mail. La base de données a été constituée suite à des attaques informatiques visant une trentaine de laboratoires du quart nord-ouest de la France. Les données sont relatives à des prélèvements effectués entre 2015 et 2020.
Les experts tirent la sonnette d’alarme
“On a très peur de la fuite de ses données de carte bleue, mais en France, la réglementation est extrêmement protectrice. Alors que les données de santé, une fois qu’on sait, c’est irréversible. Ça va être enregistré sur Internet, ça va être indexé sur les moteurs, il peut y avoir des conséquences à moyen, voire à long terme”, souligne Gérôme Billois, expert en cybersécurité interrogé par le site 20 Minutes. Au regard des informations concernées (VIH, grossesse, etc.), c’est, à ses yeux, “la pire fuite qui existe”.
“À ma connaissance, cela n’a pas encore été fait aujourd’hui. Dans ce cas, un tel site remettrait en cause la confidentialité des données, en exposant toutes les autres personnes concernées. Si on est client d’un laboratoire dans le nord-ouest de la France, il y a de fortes chances qu’on soit concerné”, poursuit l’expert concernant l’existence d’un site permettant de savoir si l’on est concerné ou pas par cette fuite de données.
La CNIL y va d’une piqûre de rappel
“Une enquête doit déterminer les responsabilités partagées entre les attaquants initiaux et la responsabilité du laboratoire. Ces établissements pourront aussi être sanctionnés d’une amende”, explique Gérôme Billois.
De son côté, la Commission Nationale de l’Informatique et des Libertés, garante du respect de la vie en France, en a profité pour effectuer une piqûre de rappel. “À la suite de la publication dans la presse de plusieurs articles concernant une fuite de données de santé massive, la CNIL rappelle aux responsables de traitement leurs obligations en cas de violation”, a déclaré l’autorité administrative. Pointant ce qui apparaît comme une “violation de données d’une ampleur et d’une gravité particulièrement importante”, elle rappelle qu’“il incombe aux organismes concernés qui ne l’auraient pas déjà fait de procéder à une notification auprès de la CNIL, dans les 72 heures suivant le moment où ils en ont pris connaissance” .
La CNIL rappelle aussi que “lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne. Cela peut être le cas si, comme la presse s’en est fait l’écho, des données de santé particulièrement sensibles ont été divulguées et en nombre important”. Et d’ajouter : “les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé”.
Source : 20 Minutes