Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d'analyse médicale. L'autorité en profite aussi pour lancer un appel.
Depuis plusieurs jours, circule sur diverses plateformes pirates une base de données comportant les données personnelles et médicales de près de 500 000 patients français. Nom, adresses (postale et e-mail), numéro de sécurité sociale, groupe sanguin, médecin traitant, pathologie ou traitement éventuels… Libération et Zataz, qui ont tous deux dévoilé la fuite, indiquent que jusqu'à 60 données différentes issues d'une même personne ont pu être relevées par les hackers. La Commission nationale de l'informatique et des libertés (CNIL), censée être notifiée de chaque fuite de données, a rapidement communiqué, mercredi 24 février, pour rappeler les bonnes pratiques et donner de nouvelles informations sur cette affaire.
Pour la CNIL, la fuite proviendrait bien de laboratoires de biologie médicale
La CNIL indique avoir été informée par voie de presse de la publication de ce fichier contenant les données médicales de 491 840 personnes. Dans la foulée, le gendarme des données précise avoir lancé immédiatement des contrôles pour pouvoir étudier de plus près le fichier litigieux.
L'autorité administrative indépendante confirme d'abord l'ampleur de cette violation de données. Puis elle l'impute avec une quasi-certitude à des laboratoires d'analyse médicale.
Comme le veut la réglementation en vigueur, chaque organisation, entreprise ou collectivité qui constate avoir été victime d'une fuite de données a l'obligation de notifier cette dernière à la CNIL, dans les 72 heures après la découverte de la faille. La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l'aurait pas encore dévoilée.
Lutte contre le défaut de notification des violations de données
Il est obligatoire d'informer la CNIL de la violation, certes, mais en cas de fuite de données susceptible d'engendrer un important risque pour les droits et libertés, les entités ou organismes qui détenaient les informations personnelles doivent obligatoirement informer les personnes concernées, et ce individuellement. Le fait de voir ces données publiées en ligne, avec tous les risques qui en découlent, donne une vraie légitimité à cette obligation. La CNIL précise qu'en cas de manquement à ces différentes obligations, elle peut mener une action répressive.
L'autorité française met la pression donc aux potentiels acteurs qui pourraient avoir connaissance d'une fuite sans avoir daigné l'en informer. Ce qui n'est jamais vraiment bon signe. Après tout, 2/3 des sanctions prononcées par la CNIL sont motivées par des manquements à cette fameuse obligation de sécurité des données.
Et la violation de données est en constante croissance, avec une augmentation des notifications de 24% en 2020, 2 825 au total.
Source : Communiqué de presse