Fin février 2021, le site d’information ZATAZ et le journal Libération révèlent la fuite de données personnelles et médicales concernant près de 500 000 personnes.
Les données proviendraient de 28 laboratoires d’analyses médicales situés dans six départements en Bretagne, en Normandie et dans le Centre-Val de Loire qui ont été touchés par une cyberattaque.
L’origine exacte du contexte n’est pas encore déterminée mais nous savons que ces laboratoires utilisaient le même logiciel.
Les cyberattaquants ont mis le fichier informatique en ligne avec les noms ainsi que les coordonnées personnelles (adresse, numéro de sécurité sociale…) et les indications médicales sur les personnes identifiées (groupe sanguin, médecin traitant, commentaires sur l'état de santé…).
Les laboratoires victimes de la cyberattaque ont effectué une notification à la CNIL et ont dû informer chaque personne physique concernée dans les meilleurs délais conformément aux dispositions du RGPD.
La CNIL a immédiatement procédé à une opération de contrôle et a saisi le tribunal judiciaire de Paris pour faire cesser l’atteinte grave et immédiate aux droits et libertés des personnes. Par une ordonnance du 4 mars 2021, le tribunal a enjoint aux fournisseurs d’accès à internet (SA ORANGE, SAS FREE, SA SFR et SA BOUYGUES TELECOM), de bloquer le service de communication au public du fichier litigieux comprenant des données relatives à près de 500 000 patients.
La CNIL demeurera attentive, en liaison avec l'ANSSI et le parquet de Paris, à la nécessité d'éventuelles mesures complémentaires.
Cette cyberattaque entraine plusieurs risques majeurs pour les personnes concernées, notamment : l’hameçonnage (phishing) qui est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance (un soi-disant courriel du médecin ou de la sécurité sociale par exemple) et l’usurpation d’identité.
Les personnes concernées ne manqueront pas d’engager la responsabilité civile ou pénale des entités à l’origine des préjudices subis.
Nous rappelons que, depuis le RGPD, les responsables de traitements et leurs sous-traitants sont solidairement responsables à l’égard des personnes physiques concernées. Ce qui suppose que ces obligations soient respectées par les détenteurs des données.
En outre, la CNIL pourra également prononcer des sanctions financières pouvant s’élevaient jusqu’à 2% du chiffre d’affaires annuel mondial.
La CNIL a d’ailleurs clairement affirmé que la sécurité des données de santé constitue un axe prioritaire de contrôle pour 2021.
En conclusion, une vigilance accrue de tous les acteurs traitant des données de santé est nécessaire et les procédures devant le juge judiciaire sont désormais un des axes de la prévention de ces risques . La récente publication des 6 CCAG le 1er avril tend à alerter les entités publiques, et les entreprises candidates aux marchés publics sur la nécessité d’intégrer ces dispositions dans leurs contrats.
Genesis Avocats
| Retrouvez toute notre actualité sur notre page LinkedIn !