Violation des données médicales : la CNIL met la pression et confirme la source de la fuite

25 février 2021 à 09h44
17
laboratoire © DarkoStojanovic / Pixabay
© DarkoStojanovic / Pixabay

Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d'analyse médicale. L'autorité en profite aussi pour lancer un appel.

Depuis plusieurs jours, circule sur diverses plateformes pirates une base de données comportant les données personnelles et médicales de près de 500 000 patients français. Nom, adresses (postale et e-mail), numéro de sécurité sociale, groupe sanguin, médecin traitant, pathologie ou traitement éventuels… Libération et Zataz, qui ont tous deux dévoilé la fuite, indiquent que jusqu'à 60 données différentes issues d'une même personne ont pu être relevées par les hackers. La Commission nationale de l'informatique et des libertés (CNIL), censée être notifiée de chaque fuite de données, a rapidement communiqué, mercredi 24 février, pour rappeler les bonnes pratiques et donner de nouvelles informations sur cette affaire.

Pour la CNIL, la fuite proviendrait bien de laboratoires de biologie médicale

La CNIL indique avoir été informée par voie de presse de la publication de ce fichier contenant les données médicales de 491 840 personnes. Dans la foulée, le gendarme des données précise avoir lancé immédiatement des contrôles pour pouvoir étudier de plus près le fichier litigieux.

L'autorité administrative indépendante confirme d'abord l'ampleur de cette violation de données. Puis elle l'impute avec une quasi-certitude à des laboratoires d'analyse médicale.

Comme le veut la réglementation en vigueur, chaque organisation, entreprise ou collectivité qui constate avoir été victime d'une fuite de données a l'obligation de notifier cette dernière à la CNIL, dans les 72 heures après la découverte de la faille. La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l'aurait pas encore dévoilée.

Lutte contre le défaut de notification des violations de données

Il est obligatoire d'informer la CNIL de la violation, certes, mais en cas de fuite de données susceptible d'engendrer un important risque pour les droits et libertés, les entités ou organismes qui détenaient les informations personnelles doivent obligatoirement informer les personnes concernées, et ce individuellement. Le fait de voir ces données publiées en ligne, avec tous les risques qui en découlent, donne une vraie légitimité à cette obligation. La CNIL précise qu'en cas de manquement à ces différentes obligations, elle peut mener une action répressive.

L'autorité française met la pression donc aux potentiels acteurs qui pourraient avoir connaissance d'une fuite sans avoir daigné l'en informer. Ce qui n'est jamais vraiment bon signe. Après tout, 2/3 des sanctions prononcées par la CNIL sont motivées par des manquements à cette fameuse obligation de sécurité des données.

Et la violation de données est en constante croissance, avec une augmentation des notifications de 24% en 2020, 2 825 au total.

Source : Communiqué de presse

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
17
12
keyplus
faut taper au porte monaie de ces labos
Peter_Vilmen
Comment savoir si notre nom se trouve dans le document ? Il risque vite d’être utilisé par les organismes de ressources humaines dans leurs screenings de potentielles recrues.
Bombing_Basta
anon16165080:<br /> au contraire leur donner plus de moyens pour se sécuriser plutôt que sortir des budgets pour du vent ou jouer au redresseur de torts…<br /> Ah oui c’est ça, on va payer des entreprises pour faire ce qu’elles devraient faire de base sachant le caractère sensible des infos qu’elles détiennent?!?<br /> C’EST LEUR DEVOIR de faire en sorte que le secret médical reste secret.<br /> L’entreprise, ou les entreprises à l’origine de cette fuite, par la négligence de leur devoir de protection du secret médical, sont en tort.<br /> Quand un citoyen manque à son devoir, on le récompense avec de l’argent?
clockover
C’est compliqué rien n’est inviolable. Penser le contraire est une erreur.<br /> Donc faire peser un risque financier au pifomètre n’est pas nécessairement la bonne solution.<br /> Si ca se trouve le système est correctement sécurisé, et c’est un mec qui bossait là-bas qui a sortie les données.<br /> SI ca se trouve un phpmyadmin traine/ait en publique avec un admin/1234.<br /> Le risque financier devrait être en correspondance avec la situation.
clockover
anon16165080:<br /> ratoire… Il faut les aider à se sécuriser et le rôle de l’état est de les aider il me semble, pas de les punir… Ce sont tous les laboratoires qu’il faut aider et pas seulement ceux qui se déclareraient victimes. Par contre il faut être sans<br /> Oui par exemple une boite de sécurité IT comme solarwind se fait pincer pour avoir un mot de passe genre solarwind123 la gravité n’est pas du tout la même qu’un laboratoire qui subit une vulnérabilité zero-day.<br /> Même si bien sûr être responsable de données engage à des responsabilités.
Urleur
ces données peuvent très bien servir pour les banques, assurances, mutuelles, etc… elles peuvent en faire une analyse sur les prochaines années.
sirifa
Rien est inviolable nous sommes d’accord.<br /> Mais payer les prestataires de service au moins chère donne ce genre de résultat.<br /> Les SSII/ESN sont responsable de cela. Je ne pense pas que les laboratoires tombés dans ce problème ont développés leur propre système par eux-même.<br /> Travaillant dans une SSII avec des projets qui peuvent manipuler les données personnelles (et parfois médical), je peux dire que j’ai accès aux données sensible sans contrôle (je n’ai même pas signé de papier pour la confidentialité), je pourrais donné le numéro de certaines personnalité, leur adresses, même certains de leur problème de santé. Bien sûr tout cela n’est pas tracé on ne peux que vaguement savoir qui a eu accès à ces données.<br /> Donc bon la rhétorique c’est «&nbsp;rien est inviolable&nbsp;» est certes vrai, mais il faut mettre les moyens pour que le vol soit le plus compliqué possible.
Bombing_Basta
anon16165080:<br /> Je te trouve bien dure, la sécurité informatique c’est chaud et personne n’est à l’abri de se faire pirater…<br /> Je te trouve bien souple, la sécurité informatique est primordiale et ce qui pouvait passer comme un manque de connaissance/d’expérence il y a 30 ans, est, de nos jours, une prérogative : ne pas badiner avec les moyens accordés au service IT et à la sécurisation des données personnelles.
Nerva
Quand un client verra son assurance augmenter fortement à cause d’une fuite de données et de tout ce qui s’en suit, ça lui fera une belle jambe de savoir que le système informatique du labo était au top et que ce sont les pirates qui ont été les plus balèzes !
clockover
Je suis bien d’accord je ne dédouane pas.<br /> Je dis juste que rien n’est inviolable et qu’il y a un aspect contextuel à prendre en compte.<br /> Tu signerais un papier ne changerait rien au problème.<br /> Un humain papier ou pas si il veut sortir/utiliser des données…<br /> (je travaille aussi dans l’hébergement de données et notamment médicales)
reith
Ma première réaction est pourquoi la CNIL ne donne-t-elle pas les noms de ces laboratoires assez peu scrupuleux, cupides et mal protégés ???<br /> Chaque personne concernée saura s’il y a des probabilités pour que ses données personnelles soient dans la nature…
clockover
Elle l’ignore sûrement encore
kestork
Je boss dans l’informatique médical et on nous oblige avec les RGPD à séparer les données des patients dans des basse différente pour les info telle que N° de Sécu , Nom , et données perso ect… pour qu’elle ne soit pas ensemble et en plus d’anonymiser ses basse 3 lettres pour le nom et 3 pour le prénom.<br /> Alors que fait la police ? Nous on se tue à être aux normes et les autres y s’en tape !!<br /> J’espère qu’ils vont s’en prendre plein la tête ! c’est vraiment pas normal !
chasis_fan
le problème ne vient ni des labos, ni des ESN mais de l’éditeur (leader européen en plus ca promet pour d’autres cas similaires à venir …) proposant ces solutions aux laboratoire : La méga-fuite de données de santé émanerait d'un logiciel racheté par... Dedalus<br /> Et voila comment ils traitent leurs employés se souciant de la sécurité et de la confidentialité des données des patients <br /> nextinpact.com – 2 Oct 20<br /> Un « leader européen » des données de santé licencie un lanceur d'alerte pour...<br /> En plein confinement, alors que l'AP-HP avait été victime d'une cyberattaque, un employé de Dedalus France – « leader européen en matière de solutions logicielles de Santé » – alertait les autorités pour faire colmater une faille ...<br /> En espérant que la CNIL leur mette leur nez dans leur m*** et que des labos, et autres entreprises de santé soient d’avantage sensibilité à la sécurité informatique et les sanctionnent en allant voir ailleurs (en espérant que la concurrence soit plus sérieuse…)
Voir tous les messages sur le forum

Derniers actualités

Faites des économies sur votre forfait mobile avec cette offre B&You 🔥
Chez Facebook, les prestataires perdent leur contrat sur un pile ou face
Vous avez besoin d'un nouvel aspirateur ? Le Dyson V8 est à prix cassé chez Boulanger !
Le van électrique ID.Buzz de Volkswagen se vend presque trop bien
Alerte vie privée : le navigateur intégré à l'app TikTok enregistre les saisies clavier et les clics
Samsung va mettre un très grand lecteur d'empreintes sous l'écran de son Galaxy S23 Ultra
On est vraiment plus serein en ligne grâce à l'excellente suite antivirus Norton 360 Deluxe
Cette TV LG OLED voit son prix drastiquement chuter !
Le prix de cet écran gamer LG n'aura jamais été aussi bas 🔥
Améliorez votre setup bureau avec ce pack Logitech à prix réduit !
Haut de page