Fuite massive de données de santé : ce que dit la CNIL

Les données médicales de près de 500 000 personnes ont été récemment divulguées sur internet. Face à cet acte de cybercriminalité, la CNIL rappelle que le traitement des données est encadré par le règlement général de protection des données. Le RGPD précise les obligations des organismes traitant les données en cas de violations de celles-ci.

Temps de lecture  3 minutes

Technicienne de laboratoire retranscrivant sur un ordinateur des résultats.
La CNIL va vérifier que chaque laboratoire aura bien informé toutes les personnes concernées dans les meilleurs délais. © dusanpetkovic1 - stock.adobe.com

La presse française a révélé, fin février 2021, la publication sur internet d’un fichier contenant les données médicales de près de 500 000 personnes. L'éditeur de logiciels pour établissements de santé concerné a identifié parmi ses clients 28 laboratoires d’analyses médicales touchés par cette fuite. L’entreprise a informé ces laboratoires.

La Commission nationale de l’informatique et des libertés (CNIL) a publié le 24 février 2021 une note sur la fuite de ces données de santé.

Plus globalement, en 2020, la CNIL a relevé une hausse de 24% des notifications de violation de données (avec 2 825 cas). La CNIL dénombre également pour cette même année une multiplication par trois des violations liées à des attaques par cryptolockers sur des établissements de santé (centre hospitalier, clinique, EPHAD, maison de santé, laboratoires...) avec 36 violations avérées.

Un fichier avec 491 840 noms

Le fichier publié comporte 491 840 noms accompagnés de coordonnées personnelles (adresse, numéro de sécurité sociale…) et d’indications médicales (groupe sanguin, médecin traitant, commentaires sur l'état de santé…). Le traitement des données personnelles est encadré depuis 2018 par le règlement général sur la protection des données (RGPD). Il précise les obligations des organismes traitant des données en cas de violation de celles-ci.

Situés dans six départements en Bretagne, en Normandie et dans le Centre-Val de Loire, les laboratoires victimes de la cyberattaque ont effectué une notification à la CNIL. Cette fuite massive de données de santé présentant un risque élevé pour les droits et les libertés, les laboratoires doivent aussi informer chaque personne concernée dans les meilleurs délais. Ils ont annoncé leur intention de le faire ; la CNIL s’en assurera.

 

Les principaux risques liés à cette fuite de données

Les principaux risques liés à cette violation de données de santé sont :

  •  l’hameçonnage (ou phishing), c’est-à-dire l’envoi d’un courriel ou d’un SMS frauduleux mais qui vous paraît réaliste car il utilise les données volées. En cas de doute, n’ouvrez ni les liens ni les pièces jointes, ne répondez pas à ce message et supprimez-le immédiatement ;
  • l’usurpation d’identité. Si vous estimez en être victime, vous trouverez des conseils sur le site cybermalveillance.gouv.fr. Déposez plainte au plus vite auprès de la police ou de la gendarmerie. En cas d’usurpation avérée, demandez à la CNIL une consultation du fichier des comptes bancaires pour savoir si des comptes ont été ouverts à votre nom.

Si l’un de vos mots de passe fait partie des données dérobées, l’organisme vous en informera. Afin de limiter les risques, changez dès à présent vos mots de passe en privilégiant des mots de passe forts (comme des phrases) et évitez d’employer le même mot de passe pour différents services.

Si vous avez subi un préjudice, vous pouvez saisir les tribunaux civils qui statueront sur son existence, son évaluation et sur une éventuelle indemnisation.