Partager:
"Qu'est-ce qu'on peut faire face à ça ?": des informations médicales sensibles de près de 500.000 personnes en France se sont retrouvées sur internet, une fuite de données d'une "gravité particulièrement importante" selon la Cnil, qui a plongé les patients dans l'incompréhension et la colère.
"Dieu merci, je n'ai aucune maladie... J'irai demain matin me plaindre auprès de la Sécurité sociale. Ce n'est pas normal qu'il y ait un piratage au niveau de notre carnet de santé (sic)", se plaint auprès de l'AFP Aïcha, 36 ans, après avoir appris la nouvelle.
L'AFP a pu constater qu'un fichier comportant 491.840 noms, associés à des coordonnées (adresse postale, téléphone, email) et un numéro d'immatriculation à la sécurité sociale, circulait librement sur au moins un forum référencé par des moteurs de recherche.
Ces noms sont parfois accompagnés d'indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse), des traitements médicamenteux ou des pathologies (notamment le VIH).
Selon la rubrique de vérification Checknews du quotidien Libération qui a enquêté sur le sujet, les données proviendraient d'une trentaine de laboratoires de biologie médicale, situés pour l'essentiel dans le quart nord-ouest de la France, et correspondent à des prélèvements effectués entre 2015 et octobre 2020.
"La fuite de données est en cours d'investigation par l'Agence nationale de la sécurité des systèmes d'information (Anssi), le Ministère des Solidarités et de la Santé, en lien avec la Cnil et l'éditeur de logiciel, dont il est suspecté que des anciennes installations de sa solution de gestion de laboratoire soient impliquées", a indiqué mercredi soir à l'AFP la Direction générale de la santé.
L'Anssi avait auparavant déclaré à l'AFP avoir identifié l'"origine" de la fuite des données de santé et l'avoir signalée au Ministère des Solidarités et de la Santé en novembre 2020.
"Les recommandations nécessaires ont été données par l'Anssi pour traiter l'incident", avait-elle ajouté sans donner aucun détail supplémentaire.
"Les constatations préliminaires semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importantes et laissent à penser que les données proviendraient de laboratoires d’analyse médicale", a enfin établi la Cnil dans un billet de blog, quelques heures après avoir lancé ses propres contrôles.
- Diffusion à la suite d'une dispute -
La Commission, gendarme des données personnelles, n'avait cependant pas été notifiée mercredi d'une violation de données d'une telle ampleur par la ou les entreprises responsables, comme cela est requis dans un délai de 72 heures par le règlement européen sur la protection des données (RGPD).
Le RGPD prévoit pour ce type d'incidents des sanctions pouvant atteindre 4% du chiffre d'affaires.
"S'il existe un risque élevé pour les droits et libertés des personnes physiques, les entreprises doivent également notifier individuellement" les victimes de la fuite, a précisé auprès de l'AFP le secrétaire général de la Cnil Louis Dutheillet de Lamothe.
"Je suis du genre +vivons heureux vivons caché+", mais "qu'est-ce qu'on peut faire face à ça?", s'interroge Amélie, 34 ans, autre victime interrogée par l'AFP. "Je n'ai pas une vie passionnante à ce niveau-là, quel est leur intérêt?"
"Je ne sais pas quoi faire, c'est la première fois que ça m'arrive", avoue la jeune maman. "Est-ce que le gouvernement va retirer tout cela ?"
Selon Damien Bancal, journaliste spécialisé qui a le premier identifié la fuite le 14 février sur son blog Zataz, ce fichier était l'objet d'une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l'échange de bases de données volées. L'un d'entre eux l'a diffusé sur le web à la suite d'une dispute.
"500.000 données, c'est déjà énorme et rien n'empêche de penser que les pirates en possèdent encore beaucoup plus", a-t-il indiqué à l'AFP.
Cette fuite massive de données médicales survient dans un contexte de cyberattaques visant de plus en plus les établissements de santé.
"Il y a eu 27 cyberattaques d'hôpitaux en 2020 et depuis le début de l'année 2021, c'est une attaque par semaine", relevait ainsi la semaine dernière le secrétaire d’État chargé du numérique Cédric O.
Ces hôpitaux, laboratoires ou plates-formes, qui gèrent des données sensibles, sont devenus des cibles privilégiées depuis la crise sanitaire. Le président Emmanuel Macron a présenté le 18 février un plan d'un milliard d'euros destiné à renforcer leur cybersécurité.
