Fuite des données de santé : quels impacts et quelles dispositions à prendre ?

10/03/2021

Depuis le 14 février 2021, un fichier informatique comportant des données personnelles de 500 000 patients circulerait sur Internet, provenant d’une trentaine de laboratoires de biologie médicale, situés pour l’essentiel dans le quart nord-ouest de la France. Ce fichier comporterait les données telle que l’adresse postale, téléphone, email, numéro de sécurité sociale mais aussi des données médicales dites sensibles (médecin traitant, mutuelle, pathologie, séropositivité, grossesse, etc.).

Alors que la section cybercriminalité du parquet de Paris a ouvert une enquête le 24 février 2021, dans le but de retrouver les responsables de ce vol de données, la Commission nationale de l’informatique et des libertés (CNIL) s’est, le même jour, chargé de contrôler cette fuite pour « constater officiellement la mise à disposition du fichier »  et déterminer s’il y a eu des manquements de la part des laboratoires concernés et-ou de l’éditeur du logiciel informatique qu’utilisaient ces laboratoires.

Le potentiel de ce fichier divulgué est d’autant plus incommensurable pour le cyber criminel : les données risquent d’être utilisées pour mener des campagnes de phishing ciblé (hameçonnage) ou entrainer un risque d’usurpation d’identité et de trafic de fausses cartes vitales, grâce au numéro de sécurité sociale contenu dans le fichier.

Depuis 2019 où le RGPD est entré en vigueur en France, chaque organisme et entreprise collectant, conservant, utilisant une donnée à caractère personnelle (telle que le nom, le prénom de la personne, son adresse postale ou IP) se doit d’être conforme à la règlementation européenne, en procédant à traitement de données licite.

Ces responsables de traitement de données se doivent également « d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé. ».

Ainsi, les laboratoires semblent être en première ligne pour assurer une telle conformité car ils sont responsables du traitement et de la protection des données de leurs patients, la responsabilité des médecins ne semble pas avoir été mis en cause.

En cas de fuite de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une entreprise victime d’un vol de données doit non seulement notifier l’incident à la CNIL dans les 72 heures, mais aussi informer individuellement les personnes concernées. L’enquête en cours déterminera si ces obligations ont, ou non, été respectées.

Cette obligation de sécurité existe depuis plus de 40 ans dans la loi française mais a été renforcée depuis l’entrée en vigueur du RGPD avec la création de nouveaux outils tels que la notification des violations, l’analyse d’impact sur la protection des données ou les codes de conduite à élaborer.

Quid du chiffrement de données ? Celui-ci permet de rendre impossible la lecture de données à une personne qui n’en a pas la clé de déchiffrement. C’est une procédure de sécurité informatique qui permet, en cas d’intrusion ou de vol de données, d’empêcher que celles-ci soient lues, utilisées, vendues. Cette garantie de protection est conseillée voire obligatoire dans certains cas.

Notre Cabinet UGGC et son équipe d’Avocats spécialisés en droit des données sont à votre disposition pour vous assister dans votre audit & conformité RGPD.

Par l’équipe IP/IT du Cabinet UGGC

Source : CNIL / Libération

UGGC - Visuel santé

La transposition de la Directive DAMUN en France :  un pas en avant pour les droits d’auteur 

La transposition de la Directive DAMUN en France :  un pas en avant pour les droits d’auteur  Tenant compte du lien étroit entre les évolutions du numérique et les droits d’auteur,…

Epilogue à propos de la question graduée

La réponse graduée était au cœur de l’audience tenue le 5 juillet 2022 à la CJUE dans le cadre de l’affaire opposant, notamment la Quadrature du net (« LQDN »), aux actions…

Le droit à l'image des défunts

IP-IT-Médias
Lors de la conférence “Re:Mars” à Las Vegas, Amazon a annoncé une fonctionnalité d’Alexa et de son intelligence artificielle, désormais capable de reproduire n’importe quelle voix humaine, dont celle des…