Violation des données médicales : la CNIL met la pression et confirme la source de la fuite

25 février 2021 à 08h00
17
© DarkoStojanovic / Pixabay

Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d'analyse médicale. L'autorité en profite aussi pour lancer un appel.

Depuis plusieurs jours, circule sur diverses plateformes pirates une base de données comportant les données personnelles et médicales de près de 500 000 patients français. Nom, adresses (postale et e-mail), numéro de sécurité sociale, groupe sanguin, médecin traitant, pathologie ou traitement éventuels… Libération et Zataz, qui ont tous deux dévoilé la fuite, indiquent que jusqu'à 60 données différentes issues d'une même personne ont pu être relevées par les hackers. La Commission nationale de l'informatique et des libertés (CNIL), censée être notifiée de chaque fuite de données, a rapidement communiqué, mercredi 24 février, pour rappeler les bonnes pratiques et donner de nouvelles informations sur cette affaire.

Pour la CNIL, la fuite proviendrait bien de laboratoires de biologie médicale

La CNIL indique avoir été informée par voie de presse de la publication de ce fichier contenant les données médicales de 491 840 personnes. Dans la foulée, le gendarme des données précise avoir lancé immédiatement des contrôles pour pouvoir étudier de plus près le fichier litigieux.

L'autorité administrative indépendante confirme d'abord l'ampleur de cette violation de données. Puis elle l'impute avec une quasi-certitude à des laboratoires d'analyse médicale.

Comme le veut la réglementation en vigueur, chaque organisation, entreprise ou collectivité qui constate avoir été victime d'une fuite de données a l'obligation de notifier cette dernière à la CNIL, dans les 72 heures après la découverte de la faille. La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l'aurait pas encore dévoilée.

Lutte contre le défaut de notification des violations de données

Il est obligatoire d'informer la CNIL de la violation, certes, mais en cas de fuite de données susceptible d'engendrer un important risque pour les droits et libertés, les entités ou organismes qui détenaient les informations personnelles doivent obligatoirement informer les personnes concernées, et ce individuellement. Le fait de voir ces données publiées en ligne, avec tous les risques qui en découlent, donne une vraie légitimité à cette obligation. La CNIL précise qu'en cas de manquement à ces différentes obligations, elle peut mener une action répressive.

L'autorité française met la pression donc aux potentiels acteurs qui pourraient avoir connaissance d'une fuite sans avoir daigné l'en informer. Ce qui n'est jamais vraiment bon signe. Après tout, 2/3 des sanctions prononcées par la CNIL sont motivées par des manquements à cette fameuse obligation de sécurité des données.

Et la violation de données est en constante croissance, avec une augmentation des notifications de 24% en 2020, 2 825 au total.

Source : Communiqué de presse

Modifié le 25/02/2021 à 09h44
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
17
12
Voir tous les messages sur le forum

Actualités récentes

Arrêté par le FBI, il voulait faire sauter un centre de données d'Amazon
Télétravail : le TOP des bons plans pour s'équiper au meilleur prix
Alors, on regarde ? The Nevers S01E01
Belle promotion sur la barre de son Samsung HW-T420 à moins de 100€
La cybercriminalité, plus inquiétante pour l’économie mondiale que les crises financières ?
120€ de réduction sur la trottinette électrique Xiaomi Mi Electric Scooter 1S
Citroën C5 X hybride : le nouveau modèle de Citroën dévoilé en détails
Bon plan : nouvelle baisse de prix sur les écouteurs sans fil Apple AirPods 2
Uncharted : la sortie du film de nouveau repoussée (mais d’une semaine seulement)
Le chargeur à induction Samsung Pad est presque donné à ce prix (ODR)
Haut de page