Violation des données médicales : la CNIL met la pression et confirme la source de la fuite

Alexandre Boero
Chargé de l'actualité de Clubic
25 février 2021 à 09h44
17
© DarkoStojanovic / Pixabay
© DarkoStojanovic / Pixabay

Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d'analyse médicale. L'autorité en profite aussi pour lancer un appel.

Depuis plusieurs jours, circule sur diverses plateformes pirates une base de données comportant les données personnelles et médicales de près de 500 000 patients français. Nom, adresses (postale et e-mail), numéro de sécurité sociale, groupe sanguin, médecin traitant, pathologie ou traitement éventuels… Libération et Zataz, qui ont tous deux dévoilé la fuite, indiquent que jusqu'à 60 données différentes issues d'une même personne ont pu être relevées par les hackers. La Commission nationale de l'informatique et des libertés (CNIL), censée être notifiée de chaque fuite de données, a rapidement communiqué, mercredi 24 février, pour rappeler les bonnes pratiques et donner de nouvelles informations sur cette affaire.

Lire aussi :
Cyber : l'État détaille sa stratégie de sécurisation des réseaux informatiques des établissements de santé

Pour la CNIL, la fuite proviendrait bien de laboratoires de biologie médicale

La CNIL indique avoir été informée par voie de presse de la publication de ce fichier contenant les données médicales de 491 840 personnes. Dans la foulée, le gendarme des données précise avoir lancé immédiatement des contrôles pour pouvoir étudier de plus près le fichier litigieux.

L'autorité administrative indépendante confirme d'abord l'ampleur de cette violation de données. Puis elle l'impute avec une quasi-certitude à des laboratoires d'analyse médicale.

Comme le veut la réglementation en vigueur, chaque organisation, entreprise ou collectivité qui constate avoir été victime d'une fuite de données a l'obligation de notifier cette dernière à la CNIL, dans les 72 heures après la découverte de la faille. La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l'aurait pas encore dévoilée.

Lire aussi :
Sécurité : Netflix, Uber, Tesla, Apple, piratées et vulnérables ? Notre éclairage pour comprendre la situation

Lutte contre le défaut de notification des violations de données

Il est obligatoire d'informer la CNIL de la violation, certes, mais en cas de fuite de données susceptible d'engendrer un important risque pour les droits et libertés, les entités ou organismes qui détenaient les informations personnelles doivent obligatoirement informer les personnes concernées, et ce individuellement. Le fait de voir ces données publiées en ligne, avec tous les risques qui en découlent, donne une vraie légitimité à cette obligation. La CNIL précise qu'en cas de manquement à ces différentes obligations, elle peut mener une action répressive.

L'autorité française met la pression donc aux potentiels acteurs qui pourraient avoir connaissance d'une fuite sans avoir daigné l'en informer. Ce qui n'est jamais vraiment bon signe. Après tout, 2/3 des sanctions prononcées par la CNIL sont motivées par des manquements à cette fameuse obligation de sécurité des données.

Et la violation de données est en constante croissance, avec une augmentation des notifications de 24% en 2020, 2 825 au total.

Source : Communiqué de presse

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (17)

keyplus
faut taper au porte monaie de ces labos
Peter_Vilmen
Comment savoir si notre nom se trouve dans le document ? Il risque vite d’être utilisé par les organismes de ressources humaines dans leurs screenings de potentielles recrues.
Bombing_Basta
anon16165080:<br /> au contraire leur donner plus de moyens pour se sécuriser plutôt que sortir des budgets pour du vent ou jouer au redresseur de torts…<br /> Ah oui c’est ça, on va payer des entreprises pour faire ce qu’elles devraient faire de base sachant le caractère sensible des infos qu’elles détiennent?!?<br /> C’EST LEUR DEVOIR de faire en sorte que le secret médical reste secret.<br /> L’entreprise, ou les entreprises à l’origine de cette fuite, par la négligence de leur devoir de protection du secret médical, sont en tort.<br /> Quand un citoyen manque à son devoir, on le récompense avec de l’argent?
Urleur
ces données peuvent très bien servir pour les banques, assurances, mutuelles, etc… elles peuvent en faire une analyse sur les prochaines années.
sirifa
Rien est inviolable nous sommes d’accord.<br /> Mais payer les prestataires de service au moins chère donne ce genre de résultat.<br /> Les SSII/ESN sont responsable de cela. Je ne pense pas que les laboratoires tombés dans ce problème ont développés leur propre système par eux-même.<br /> Travaillant dans une SSII avec des projets qui peuvent manipuler les données personnelles (et parfois médical), je peux dire que j’ai accès aux données sensible sans contrôle (je n’ai même pas signé de papier pour la confidentialité), je pourrais donné le numéro de certaines personnalité, leur adresses, même certains de leur problème de santé. Bien sûr tout cela n’est pas tracé on ne peux que vaguement savoir qui a eu accès à ces données.<br /> Donc bon la rhétorique c’est «&nbsp;rien est inviolable&nbsp;» est certes vrai, mais il faut mettre les moyens pour que le vol soit le plus compliqué possible.
Bombing_Basta
anon16165080:<br /> Je te trouve bien dure, la sécurité informatique c’est chaud et personne n’est à l’abri de se faire pirater…<br /> Je te trouve bien souple, la sécurité informatique est primordiale et ce qui pouvait passer comme un manque de connaissance/d’expérence il y a 30 ans, est, de nos jours, une prérogative : ne pas badiner avec les moyens accordés au service IT et à la sécurisation des données personnelles.
Nerva
Quand un client verra son assurance augmenter fortement à cause d’une fuite de données et de tout ce qui s’en suit, ça lui fera une belle jambe de savoir que le système informatique du labo était au top et que ce sont les pirates qui ont été les plus balèzes !
reith
Ma première réaction est pourquoi la CNIL ne donne-t-elle pas les noms de ces laboratoires assez peu scrupuleux, cupides et mal protégés ???<br /> Chaque personne concernée saura s’il y a des probabilités pour que ses données personnelles soient dans la nature…
kestork
Je boss dans l’informatique médical et on nous oblige avec les RGPD à séparer les données des patients dans des basse différente pour les info telle que N° de Sécu , Nom , et données perso ect… pour qu’elle ne soit pas ensemble et en plus d’anonymiser ses basse 3 lettres pour le nom et 3 pour le prénom.<br /> Alors que fait la police ? Nous on se tue à être aux normes et les autres y s’en tape !!<br /> J’espère qu’ils vont s’en prendre plein la tête ! c’est vraiment pas normal !
chasis_fan
le problème ne vient ni des labos, ni des ESN mais de l’éditeur (leader européen en plus ca promet pour d’autres cas similaires à venir …) proposant ces solutions aux laboratoire : La méga-fuite de données de santé émanerait d'un logiciel racheté par... Dedalus<br /> Et voila comment ils traitent leurs employés se souciant de la sécurité et de la confidentialité des données des patients <br /> nextinpact.com – 2 Oct 20<br /> Un « leader européen » des données de santé licencie un lanceur d'alerte pour...<br /> En plein confinement, alors que l'AP-HP avait été victime d'une cyberattaque, un employé de Dedalus France – « leader européen en matière de solutions logicielles de Santé » – alertait les autorités pour faire colmater une faille ...<br /> En espérant que la CNIL leur mette leur nez dans leur m*** et que des labos, et autres entreprises de santé soient d’avantage sensibilité à la sécurité informatique et les sanctionnent en allant voir ailleurs (en espérant que la concurrence soit plus sérieuse…)
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Violation des données médicales : la CNIL met la pression et confirme la source de la fuite Violation des données médicales : la CNIL met la pression et confirme la source de la fuite
Fuite de données de santé : la CNIL déconseille l'utilisation des sites qui checkent votre situation Fuite de données de santé : la CNIL déconseille l'utilisation des sites qui checkent votre situation
500 000 personnes victimes d'une fuite de données de santé : la CNIL condamne Dedalus Biologie 500 000 personnes victimes d'une fuite de données de santé : la CNIL condamne Dedalus Biologie
Les FAI sommés de bloquer l'accès à un site hébergeant des données de santé en clair Les FAI sommés de bloquer l'accès à un site hébergeant des données de santé en clair
RGPD : la CNIL épingle une ARS au sujet du fichier Contact COVID de l'Assurance Maladie RGPD : la CNIL épingle une ARS au sujet du fichier Contact COVID de l'Assurance Maladie