Fuite massive de données de santé : les conseils de la CNIL

Actualité
RH RGPD

Récemment informée de la publication sur internet d’un fichier contenant des données médicales de près de 500 000 personnes, la CNIL a diffusé des conseils aux responsables de traitements et aux personnes potentiellement concernées.

Fuite massive de données de santé : les conseils de la CNIL
Publié le
Télécharger en PDF

Cet article a été publié il y a 3 ans, il est donc possible qu'il ne soit plus à jour.

Conseils aux responsables de traitements

A la suite de la publication dans la presse de plusieurs articles concernant une fuite de données de santé massive, la CNIL rappelle aux responsables de traitement leurs obligations en cas de violation :

La CNIL a été informée par les médias de la publication d’un fichier contenant des données médicales de près de 500 000 personnes. Elle procède actuellement à des contrôles pour constater officiellement la mise à disposition du fichier.

Les constatations préliminaires semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importante, et laissent à penser que les données proviendraient de laboratoires d’analyse médicale. Si ces éléments devaient être confirmés, il incombe aux organismes concernés qui ne l’auraient pas déjà fait, de procéder à une notification auprès de la CNIL, dans les 72 heures suivant le moment où ils en ont pris connaissance. En outre, lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne. Cela peut être le cas si, comme la presse s’en est fait l’écho, des données de santé particulièrement sensibles ont été divulguées et en nombre important.

Par ailleurs la CNIL rappelle que les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé.

En cas de manquement à ces obligations la CNIL pourrait engager des actions répressives, sans préjudice des actions que les autres autorités compétentes seraient susceptibles de mener.

Conseils aux victimes

Lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer directement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.

Tous les laboratoires ont notifié la CNIL et ont indiqué qu’ils allaient informer les personnes concernées. La CNIL s’assurera que ce soit fait dans les plus brefs délais.

Attention : certains sites web indiquent détenir les données et pouvoir vous dire si vous êtes ou non concerné(e). La CNIL déconseille de les utiliser.

Elle précise également aux victimes ce qu’il faut faire en cas d’une violation de données :
Les principaux risques sont l’hameçonnage (phishing) ou l’usurpation d’identité.
L’hameçonnage consiste envoyer un courriel ou SMS frauduleux qui paraîtra plus réaliste du fait de l’utilisation des données récupérées grâce à la fuite de données (un soi-disant courriel du médecin ou de la sécurité sociale par exemple). 

Elle souligne le fait qu’il ne faut pas ouvrir les pièces jointes, ne pas y répondre, ne pas consulter pas les liens et qu’il faut supprimer le message immédiatement.

La personne qui pense être victime d’une usurpation d’identité à la suite de la divulgation d’informations, peut se rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour se prémunir d’usurpation ; déposer plainte au plus vite auprès d'un commissariat de police ou de gendarmerie.
Si l’usurpation est confirmée, elle doit demander auprès des services de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à son nom par l’escroc.

Des mots de passe peuvent également être présents dans cette fuite de données. Si vous êtes concerné(e), l’organisme devra vous en informer.

Afin de limiter les risques, et sans attendre cette information de l’organisme, vous pouvez adopter quelques gestes simples :

  • Changez vos mots de passe des services web que vous utilisez :

en privilégiant des mots de passe forts ;
en priorisant les services les plus importants (courriel, impôts, banques, sites de commerce en ligne, etc.) ;

  • Evitez l’utilisation d’un même mot de passe pour différents services ;
  • Utilisez les authentifications multifacteurs quand elles vous sont proposées par des services de confiance (par exemple l’envoi d’un SMS à usage unique sur votre téléphone pour valider une connexion).


Dans tous les cas, la CNIL n’est pas compétente pour accorder une indemnisation aux personnes ayant subi un préjudice.

Il est aussi possible de saisir les tribunaux civils qui statueront sur l’existence et l’évaluation du préjudice pouvant mener à indemnisation.

Références

Communiqués CNIL des 24 février et 1er mars 2021.