C’est une affaire incroyable qui occupe la presse en ce moment. Les données médicales de 500 000 personnes ont été dérobées, vendues puis mises en ligne sur Internet. La fuite proviendrait de laboratoires médicaux. Suite au retentissement médiatique de cette affaire, les autorités publiques multiplient les initiatives. Contrôles de la CNIL, plaintes, actions judiciaires… On vous dit tout dans cet article.
Les données médicales de 500 000 patients sur le dark web
Mi-février, le site Zataz repère une fuite de données médicales. Les données de 500 000 personnes ont été rendues disponibles en ligne, dans un fichier.
Ce fichier contient au total plus de 70 champs, incluant les données suivantes :
- Nom, prénom, adresse e-mail, adresse postale ;
- groupe sanguin, numéro de sécurité sociale ;
- les pathologies de certains patients (VIH, tumeur au cerveau…) ;
- les laboratoires ayant traité les données de ces patients.
Une base de données particulièrement sensibles par conséquent, et qui pourrait provenir de laboratoires. Elles concernent des analyses effectuées entre 2015 et 2020. La société Dedalus France a ainsi relevé que 28 laboratoires utilisant ses logiciels sont concernés par la violation de données.
Comment la fuite a-t-elle pu se produire ? Elle découlerait d’un transfert de fichiers de l’outil de cette société vers les serveurs internes aux laboratoires. Ces transferts auraient été interceptés par des hackers.
Initialement, les données auraient été vendues sur des forums de discussions spécialisés du dark web. A la suite d’un différend, l’internaute vendeur les aurait ensuite mises en ligne publiquement, par vengeance.
Les autorités publiques réagissent
L’Agence nationale de la sécurité ANSSI a déclaré avoir été alertée dès le mois de novembre 2020 de cette fuite et donc a débuté des investigations.
La CNIL aurait quant à elle en principe dû être prévenue par les organismes concernés. Cela n’a pas été le cas. Elle a pris connaissance des faits grâce à la presse et a donc annoncé en février 2021 mener des vérifications à son tour.
Elle a ainsi invité les entités à l’origine de la fuite de respecter les obligations légales applicables en matière de cybersécurité, à savoir :
- notifier la violation de données à la Commission Nationale de l’Informatique et des Libertés ;
- informer les personnes dont les données ont fait l’objet d’une violation.
Elle conduit en outre des contrôles qui pourront déboucher sur des sanctions en cas de manquement par les organismes concernés à leurs obligations de sécurité.
D’ores et déjà, la Présidente de la CNIL a saisi le tribunal judiciaire. Lequel a ordonné aux principaux fournisseurs d’accès à Internet de bloquer l’accès à un site mettant en ligne les données.
Sans surprise, cette affaire a conduit de nombreux particuliers à porter plainte. Une enquête judiciaire a d’ailleurs été lancée le 25 février. Elle a été confiée à l’OCLCTIC.
Affaire à suivre.
Article rédigé par Maxime Jaillet