Après la fuite de données médicales de 500.000 personnes en France, la CNIL lance des contrôles

La CNIL, gendarme de la protection des données personnelles, indique ce mercredi à l'AFP avoir lancé des contrôles pour établir les manquements responsables de la fuite de données médicales qui a touché près de 500.000 personnes en France. Si l'ampleur de la fuite était vérifiée, l'affaire présenterait "une gravité particulière" au regard du nombre de victimes et de la sensibilité des informations médicales diffusées, a estimé Louis Dutheillet de Lamothe, secrétaire général de la Commission nationale Informatique et Libertés (CNIL).

Il s'agit d'un fichier comportant des données médicales sensibles pour une liste de près de 500.000 personnes en France qui circule sur Internet, a pu constater mardi 23 février l'Agence France presse (AFP), après les révélations du journal Libération et du blog spécialisé en cybersécurité Zataz.

La CNIL pas mise au courant

La Commission affirme cependant n'avoir pas été notifiée mercredi d'une telle violation de données par la ou les entreprises responsables. Pourtant, c'est ce qui est requis, dans un délai de 72 heures, par le règlement européen sur la protection des données (RGPD). Ce règlement prévoit d'ailleurs des sanctions pour ce type d'incidents pouvant atteindre 4% du chiffre d'affaires. Toujours selon Louis Dutheillet de Lamothe, "s'il existe un risque élevé pour les droits et libertés des personnes physiques, les entreprises doivent également notifier individuellement" les victimes de la fuite.

A noter également que l'Agence nationale de la sécurité des systèmes d'informations (Anssi) a indiqué à l'AFP avoir identifié l'"origine" de la fuite des données de santé, et l'avoir signalée au ministère des Solidarités et de la Santé en novembre 2020 : "Les recommandations nécessaires ont été données par l'Anssi pour traiter l'incident", a ainsi affirmé l'Agence nationale.

Rien n'empêche de penser que les pirates en possèdent encore beaucoup plus.

Le fichier piraté comporte 491.840 noms associés à des coordonnées (adresse postale, téléphone, email) et un numéro de sécurité sociale. Ils sont parfois accompagnés d'indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse), des traitements médicamenteux, ou des pathologies (notamment le VIH).

Selon la rubrique de vérification Checknews du quotidien Libération qui a enquêté sur le sujet, les données proviendraient d'une trentaine de laboratoires de biologie médicale, situés pour l'essentiel dans le quart nord-ouest de la France, notamment dans le Morbihan, les Côtes d'Armor, le Loiret et le Loir-et-Cher, utilisant un même logiciel de saisie de renseignements médico-administratifs. Elles correspondent selon le journal à des prélèvements effectués entre 2015 et octobre 2020. 

"On peut retrouver ce fichier à 7 endroits différents sur Internet", a précisé à l'AFP Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz. Selon lui, ce fichier était l'objet d'une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l'échange de bases de données volées, et l'un d'entre eux l'a diffusé gratuitement suite à une dispute. "500.000 données, c'est déjà énorme et rien n'empêche de penser que les pirates en possèdent encore beaucoup plus", a-t-il déclaré à l'AFP.