Main Menu
Traitement des données de santé : êtes-vous suffisamment vigilants ?
Fin février 2021, le site d’information ZATAZ et le journal Libération révèlent la fuite de données personnellesToute donnée qui identifie directement ou indirectement une personne physique. Cette identification peut s’effectuer à partir d’une seule donnée ou à partir d’un croisement d’un ensemble de données. Ex1 :… et médicales concernant près de
500 000 personnes.
Les données proviendraient de 28 laboratoires d’analyses médicales situés dans six départements en Bretagne, en Normandie et dans le Centre-Val de Loire qui ont été touchés par une cyberattaque.
L’origine exacte du contexte n’est pas encore déterminée mais nous savons que ces laboratoires utilisaient le même logiciel.
Les cyberattaquants ont mis le fichier informatique en ligne avec les noms ainsi que les coordonnées personnelles (adresse, numéro de sécurité sociale…) et les indications médicales sur les personnes identifiées (groupe sanguin, médecin traitant, commentaires sur l’état de santé…).
Les laboratoires victimes de la cyberattaque ont effectué une notification à la CNIL et ont dû informer chaque personne physique concernée dans les meilleurs délais conformément aux dispositions du RGPD.
La CNIL a immédiatement procédé à une opération de contrôle et a saisi le tribunal judiciaire de Paris pour faire cesser l’atteinte grave et immédiate aux droits et libertés des personnes, qui a enjoint aux fournisseurs d’accès à internet (SA ORANGE, SAS FREE, SA SFR et SA BOUYGUES TELECOM), de bloquer le service de communication au public du fichier litigieux.
Cette cyberattaque entraine plusieurs risques majeurs pour les personnes concernées, notamment : l’hameçonnage (phishing) qui est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance (un soi-disant courriel du médecin ou de la sécurité sociale par exemple) et l’usurpation d’identité.
Les personnes concernées ne manqueront pas d’engager la responsabilité civile ou pénale des laboratoires de santé pour obtenir l’indemnisation de leur préjudice.
Nous rappelons que depuis le RGPD, les responsables de traitements et leurs sous-traitants sont solidairement responsables à l’égard des personnes physiques concernées.
En outre, la CNIL pourra également prononcer des sanctions financières pouvant s’élevaient jusqu’à 2% du chiffre d’affaires annuel mondial.
La CNIL a d’ailleurs clairement affirmé que la sécurité des donnéesC’est une obligation issue du RGPD consistant à imposer au responsable des traitements et au sous-traitant de prendre les mesures nécessaires pour assurer la sécurité des données personnelles contenues dans… de santé constitue un axe prioritaire de contrôle pour 2021.
En conclusion, une vigilance accrue de tous les acteurs traitant des données de santé est nécessaire.
Il est impératif de s’assurer que la sécurité des données est correctement assurée par le biais d’une analyse technique et juridique, notamment avec un contrôle des sous-traitants y compris des certifications (exemple : hébergeurs de données de santé). Ce qui permettrait, à tout le moins, d’atténuer voire d’exclure la responsabilité des entités en charge des traitements.