La Cnil a lancé mercredi des contrôles pour établir les manquements
responsables de la fuite de données médicales qui a touché près de 500 000
personnes en France, a-t-elle indiqué à l’AFP.
Les données médicales de près d’un demi-million de Français ont été piratées : numéros de sécurité sociale, états de santé, suivis de traitements médicamentaux, pathologies… Ces données ont été, d’après le Cert-FR, mises en vente sur le dark web
Si l’ampleur de la fuite était vérifiée, l’affaire présenterait “une gravité particulière” au regard du nombre de victimes et de la sensibilité des informations médicales diffusées, a estimé Louis Dutheillet de Lamothe, secrétaire général de la Commission nationale Informatique et Libertés.
La Cnil n’avait cependant pas été notifiée mercredi d’une telle violation de données par la ou les entreprises responsables, comme cela est requis dans un délai de 72 heures par le règlement européen sur la protection des données (RGPD). Le RGPD prévoit pour ce type d’incidents des sanctions pouvant atteindre 4 % du chiffre d’affaires.
“S’il existe un risque élevé pour les droits et libertés des personnes physiques, les entreprises doivent également notifier individuellement” les victimes de la fuite, a ajouté M. Dutheillet de Lamothe.
Un fichier comportant 491 840 noms circule sur Internet
Parallèlement, l’Agence nationale de la sécurité des systèmes d’informations (Anssi) a indiqué à l’AFP avoir identifié l'”origine” de la fuite des données de santé, et l’avoir signalée au ministère des Solidarités et de la Santé en novembre 2020. “Les recommandations nécessaires ont été données par l’Anssi pour traiter l’incident“, a-t-elle ajouté sans donner aucun détail supplémentaire.
Mardi soir, l’AFP a pu constater qu’un fichier comportant 491 840 noms, associés à des coordonnées (adresse postale, téléphone, email) et un numéro d’immatriculation à la sécurité sociale, était en circulation sur Internet.
Ces noms sont parfois accompagnés d’indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l’état de santé (dont une éventuelle grossesse), des traitements médicamenteux ou des pathologies (notamment le VIH).
Selon la rubrique de vérification Checknews du quotidien Libération, qui a enquêté sur le sujet, les données proviendraient d’une trentaine de laboratoires de biologie médicale, situés pour l’essentiel dans le quart nord-ouest de la France.
50 000 identifiants de connexion appartenant à des professionnels de la santé piratés
C’est le site Zatz.com qui a révélé la découverte d’une base de données de plus de 490 000 informations concernant des patients français. Le CERT France a quelques jours après alerté le ministère de la santé de la découverte d’une autre vente, de 50 000 identifiants de connexion appartenant à des professionnels de la santé. « Le CERT-FR a informé le ministère de la santé de la mise en vente sur un forum cybercriminel d’une liste de 50 000 comptes utilisateurs (login/mot de passe) appartenant vraisemblablement à des agents de centres hospitaliers. Le fichier vendu depuis le 04/02/2021 se nomme “FR medicine related database”. Pour le moment seuls quelques noms de domaines d’établissements ont été identifiés, ces derniers ont été prévenus directement », indique-t-il.
La rédaction avec AFP