Fuite des données de santé : quels impacts et quelles dispositions à prendre ?

10/03/2021

Depuis le 14 février 2021, un fichier informatique comportant des données personnelles de 500 000 patients circulerait sur Internet, provenant d’une trentaine de laboratoires de biologie médicale, situés pour l’essentiel dans le quart nord-ouest de la France. Ce fichier comporterait les données telle que l’adresse postale, téléphone, email, numéro de sécurité sociale mais aussi des données médicales dites sensibles (médecin traitant, mutuelle, pathologie, séropositivité, grossesse, etc.).

Alors que la section cybercriminalité du parquet de Paris a ouvert une enquête le 24 février 2021, dans le but de retrouver les responsables de ce vol de données, la Commission nationale de l’informatique et des libertés (CNIL) s’est, le même jour, chargé de contrôler cette fuite pour « constater officiellement la mise à disposition du fichier »  et déterminer s’il y a eu des manquements de la part des laboratoires concernés et-ou de l’éditeur du logiciel informatique qu’utilisaient ces laboratoires.

Le potentiel de ce fichier divulgué est d’autant plus incommensurable pour le cyber criminel : les données risquent d’être utilisées pour mener des campagnes de phishing ciblé (hameçonnage) ou entrainer un risque d’usurpation d’identité et de trafic de fausses cartes vitales, grâce au numéro de sécurité sociale contenu dans le fichier.

Depuis 2019 où le RGPD est entré en vigueur en France, chaque organisme et entreprise collectant, conservant, utilisant une donnée à caractère personnelle (telle que le nom, le prénom de la personne, son adresse postale ou IP) se doit d’être conforme à la règlementation européenne, en procédant à traitement de données licite.

Ces responsables de traitement de données se doivent également « d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé. ».

Ainsi, les laboratoires semblent être en première ligne pour assurer une telle conformité car ils sont responsables du traitement et de la protection des données de leurs patients, la responsabilité des médecins ne semble pas avoir été mis en cause.

En cas de fuite de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une entreprise victime d’un vol de données doit non seulement notifier l’incident à la CNIL dans les 72 heures, mais aussi informer individuellement les personnes concernées. L’enquête en cours déterminera si ces obligations ont, ou non, été respectées.

Cette obligation de sécurité existe depuis plus de 40 ans dans la loi française mais a été renforcée depuis l’entrée en vigueur du RGPD avec la création de nouveaux outils tels que la notification des violations, l’analyse d’impact sur la protection des données ou les codes de conduite à élaborer.

Quid du chiffrement de données ? Celui-ci permet de rendre impossible la lecture de données à une personne qui n’en a pas la clé de déchiffrement. C’est une procédure de sécurité informatique qui permet, en cas d’intrusion ou de vol de données, d’empêcher que celles-ci soient lues, utilisées, vendues. Cette garantie de protection est conseillée voire obligatoire dans certains cas.

Notre Cabinet UGGC et son équipe d’Avocats spécialisés en droit des données sont à votre disposition pour vous assister dans votre audit & conformité RGPD.

Par l’équipe IP/IT du Cabinet UGGC

Source : CNIL / Libération

UGGC - Visuel santé

Œuvres culturelles à l’ère numérique : projet de loi adopté contre le Piratage

IP-IT-Médias
Maître Anne-Marie Pecoraro, avocate associée spécialisée en propriété intellectuelle, est intervenue à l’EFB, jeudi 21 octobre 2021, aux côtés des équipes de la HADOPI-ARCOM et de Caroline Guenneteau de beIN…

Nouvel accord avec les organisations cinéma : TF1 veut jouer un rôle majeur dans le cinéma français et dans la future chronologie des médias

IP-IT-Médias
TF1 a annoncé le 19 juillet la signature d’un accord inédit avec onze organisations du cinéma sur le modèle de ceux signés jusqu’à présent principalement par la chaîne Canal +.…

Le projet de décret « câble-satellite » : le court-circuit des chaînes thématiques ?

IP-IT-Médias
Eprouvées par la pandémie et la concurrence exponentielle des plateformes de streaming, les chaînes thématiques craignent de nouveaux coups durs face à l’arrivée de cette nouvelle règlementation. Actuellement se clôture…