Violation des données médicales : la CNIL met la pression et confirme la source de la fuite

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 25 février 2021 à 09h44

Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d'analyse médicale. L'autorité en profite aussi pour lancer un appel.

Depuis plusieurs jours, circule sur diverses plateformes pirates une base de données comportant les données personnelles et médicales de près de 500 000 patients français. Nom, adresses (postale et e-mail), numéro de sécurité sociale, groupe sanguin, médecin traitant, pathologie ou traitement éventuels… Libération et Zataz, qui ont tous deux dévoilé la fuite, indiquent que jusqu'à 60 données différentes issues d'une même personne ont pu être relevées par les hackers. La Commission nationale de l'informatique et des libertés (CNIL), censée être notifiée de chaque fuite de données, a rapidement communiqué, mercredi 24 février, pour rappeler les bonnes pratiques et donner de nouvelles informations sur cette affaire.

Pour la CNIL, la fuite proviendrait bien de laboratoires de biologie médicale

La CNIL indique avoir été informée par voie de presse de la publication de ce fichier contenant les données médicales de 491 840 personnes. Dans la foulée, le gendarme des données précise avoir lancé immédiatement des contrôles pour pouvoir étudier de plus près le fichier litigieux.

L'autorité administrative indépendante confirme d'abord l'ampleur de cette violation de données. Puis elle l'impute avec une quasi-certitude à des laboratoires d'analyse médicale.

Comme le veut la réglementation en vigueur, chaque organisation, entreprise ou collectivité qui constate avoir été victime d'une fuite de données a l'obligation de notifier cette dernière à la CNIL, dans les 72 heures après la découverte de la faille. La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l'aurait pas encore dévoilée.

Lutte contre le défaut de notification des violations de données

Il est obligatoire d'informer la CNIL de la violation, certes, mais en cas de fuite de données susceptible d'engendrer un important risque pour les droits et libertés, les entités ou organismes qui détenaient les informations personnelles doivent obligatoirement informer les personnes concernées, et ce individuellement. Le fait de voir ces données publiées en ligne, avec tous les risques qui en découlent, donne une vraie légitimité à cette obligation. La CNIL précise qu'en cas de manquement à ces différentes obligations, elle peut mener une action répressive.

L'autorité française met la pression donc aux potentiels acteurs qui pourraient avoir connaissance d'une fuite sans avoir daigné l'en informer. Ce qui n'est jamais vraiment bon signe. Après tout, 2/3 des sanctions prononcées par la CNIL sont motivées par des manquements à cette fameuse obligation de sécurité des données.

Et la violation de données est en constante croissance, avec une augmentation des notifications de 24% en 2020, 2 825 au total.

Source : Communiqué de presse

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Piratage / Cybercriminalité

Données personnelles

Logiciels & outils Pro

Bien-être & santé

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

keyplus

faut taper au porte monaie de ces labos

Peter_Vilmen

Comment savoir si notre nom se trouve dans le document ? Il risque vite d’être utilisé par les organismes de ressources humaines dans leurs screenings de potentielles recrues.

Bombing_Basta

Ah oui c’est ça, on va payer des entreprises pour faire ce qu’elles devraient faire de base sachant le caractère sensible des infos qu’elles détiennent?!?

C’EST LEUR DEVOIR de faire en sorte que le secret médical reste secret.

L’entreprise, ou les entreprises à l’origine de cette fuite, par la négligence de leur devoir de protection du secret médical, sont en tort.

Quand un citoyen manque à son devoir, on le récompense avec de l’argent?

Urleur

ces données peuvent très bien servir pour les banques, assurances, mutuelles, etc… elles peuvent en faire une analyse sur les prochaines années.

sirifa

Rien est inviolable nous sommes d’accord.
Mais payer les prestataires de service au moins chère donne ce genre de résultat.
Les SSII/ESN sont responsable de cela. Je ne pense pas que les laboratoires tombés dans ce problème ont développés leur propre système par eux-même.
Travaillant dans une SSII avec des projets qui peuvent manipuler les données personnelles (et parfois médical), je peux dire que j’ai accès aux données sensible sans contrôle (je n’ai même pas signé de papier pour la confidentialité), je pourrais donné le numéro de certaines personnalité, leur adresses, même certains de leur problème de santé. Bien sûr tout cela n’est pas tracé on ne peux que vaguement savoir qui a eu accès à ces données.
Donc bon la rhétorique c’est « rien est inviolable » est certes vrai, mais il faut mettre les moyens pour que le vol soit le plus compliqué possible.

Bombing_Basta

Je te trouve bien souple, la sécurité informatique est primordiale et ce qui pouvait passer comme un manque de connaissance/d’expérence il y a 30 ans, est, de nos jours, une prérogative : ne pas badiner avec les moyens accordés au service IT et à la sécurisation des données personnelles.

Nerva

Quand un client verra son assurance augmenter fortement à cause d’une fuite de données et de tout ce qui s’en suit, ça lui fera une belle jambe de savoir que le système informatique du labo était au top et que ce sont les pirates qui ont été les plus balèzes !

reith

Ma première réaction est pourquoi la CNIL ne donne-t-elle pas les noms de ces laboratoires assez peu scrupuleux, cupides et mal protégés ???

Chaque personne concernée saura s’il y a des probabilités pour que ses données personnelles soient dans la nature…

kestork

Je boss dans l’informatique médical et on nous oblige avec les RGPD à séparer les données des patients dans des basse différente pour les info telle que N° de Sécu , Nom , et données perso ect… pour qu’elle ne soit pas ensemble et en plus d’anonymiser ses basse 3 lettres pour le nom et 3 pour le prénom.
Alors que fait la police ? Nous on se tue à être aux normes et les autres y s’en tape !!
J’espère qu’ils vont s’en prendre plein la tête ! c’est vraiment pas normal !

chasis_fan

le problème ne vient ni des labos, ni des ESN mais de l’éditeur (leader européen en plus ca promet pour d’autres cas similaires à venir …) proposant ces solutions aux laboratoire : La méga-fuite de données de santé émanerait d'un logiciel racheté par... Dedalus

Et voila comment ils traitent leurs employés se souciant de la sécurité et de la confidentialité des données des patients

En espérant que la CNIL leur mette leur nez dans leur m*** et que des labos, et autres entreprises de santé soient d’avantage sensibilité à la sécurité informatique et les sanctionnent en allant voir ailleurs (en espérant que la concurrence soit plus sérieuse…)