3 min de lecture Connecté

Fuite de données de santé : pourquoi les victimes n'ont toujours pas été prévenues

Les informations médicales de près de 500.000 Français circulent dans les cercles de pirates informatiques depuis plusieurs semaines. Malgré l'ampleur et la gravité de la faille, aucune des victimes n'a encore été informée de cette fuite de données.

Un médecin utilise la carte Vitale d'un patient (illustration).
Un médecin utilise la carte Vitale d'un patient (illustration). Crédit : PHILIPPE HUGUEN / AFP
Benjamin Hue
Benjamin Hue
Journaliste RTL

C'est la plus grosse fuite jamais observée en France impliquant des données de santé. Une base de données massive composée des informations médicales de près de 500.000 Français est en libre accès sur Internet depuis plusieurs semaines et circule dans les cercles de pirates informatiques. 

Le fichier contient une soixantaine d'informations personnelles par patient, dont des données très sensibles comme le numéro de sécurité sociale, le groupe sanguin et parfois même des mots de passe utilisés pour accéder aux résultats d'examen en ligne.

Cette fuite fait planer des menaces très sérieuses sur les personnes concernées qui courent le risque de faire l'objet de tentatives de phishing ciblé et de voir leur identité usurpée pour souscrire à des services ou mener des activités en ligne à leur insu.

Malgré l'ampleur et la gravité de la faille, aucune des victimes n'a encore été informée de cette fuite de données. On sait seulement que les données sont issues de laboratoires d'analyses médicales situés dans le quart nord-ouest du pays, qu'elles portent sur des prélèvements réalisés pour l'essentiel entre 2018 et 2019 et que près de 300.000 Bretons figurent dans le fichier.

L'organisme responsable des données obligé de notifier les victimes

À lire aussi
Hauts-de-France
Hauts-de-France : un groupement hospitalier victime d'une cyberattaque

En théorie, il appartient au gestionnaire des données compromises de notifier le gendarme des données personnelles français, la Cnil, et les victimes en cas de fuite. Le RGPD a rendu cette information obligatoire dans les 72 heures suivant la découverte de la faille sous peine de s'exposer à une amende pouvant aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires de l'entité responsable.

La Cnil s'est saisie du dossier il y a quelques jours, après les révélations parues dans la presse. Elle procède toujours à des contrôles pour déterminer la responsabilité des laboratoires et de l'éditeur du logiciel de gestion incriminé. Il est possible que l'entité responsable prenne contact avec les victimes lorsque le dossier connaîtra une avancée dans les prochains jours. L'un des laboratoires concerné, Océalab, a d'ailleurs indiqué jeudi qu'il allait s'engager à envoyer une lette à chaque personne concernée d'ici la fin de la semaine une fois réalisé un audit pour mesurer l'ampleur de la crise.

Dans le cas contraire, le responsable du traitement des données s'expose aussi à des sanctions pénales : la non-notification d'une violation de données à caractère personnelle à la Cnil ou à l'intéressé est punie de cinq ans d'emprisonnement et de 300.000 euros d'amende. Une enquête a d'ailleurs été ouverte par la section cybercriminalité du parquet de Paris ce jeudi.

Dans cette éventualité, la notification aux victimes pourrait revenir aux autorités de santé au titre des compétences du ministère, qui pourrait les informer directement ou par l'intermédiaire des acteurs sur lesquels il a autorité. Contacté par RTL, le cabinet d'Olivier Véran renvoie vers la Direction générale de la santé (DGS) qui n'a pas encore donné suite à nos sollicitations.

Des sites mis en ligne pour chercher son nom dans la base mais ils sont illégaux

En attendant, il existe bien un moyen de savoir si un nom figure dans la base de données. Deux moteurs de recherche ont été conçus par des spécialistes en informatique et diffusés sur les réseaux sociaux jeudi pour accélérer l'information aux victimes. 

Sur le modèle du site américain HaveIBeenPawned, dans lequel chacun peut vérifier si son adresse email a déjà été compromise dans une fuite de données, l'un permet de vérifier qu'une combinaison "nom" et "prénom" figure dans la base, sans possibilité de distinguer les homonymes, et l'autre offre la possibilité de vérifier directement la compromission d'un numéro de sécurité sociale. Nous ne pouvons cependant pas les partager.

Même si elles sont pavées de bonnes intentions, ces deux initiatives tombent en effet sous le coup de la loi au titre du recel d'informations provenant d'un crime ou d'un délit, car les deux sites traitent des informations médicales issues d'une violation d'une base de données. Cette pratique est punie de cinq ans d'emprisonnement et jusqu'à 375.000 euros d'amende, selon l'article 321 du Code pénal. 

"Le fait de savoir qui a fait des analyses en fait une donnée sensible au sens du RGPD, dont le traitement hors cadre est interdit, même dans une finalité légitime d'information. Cela permet d'éviter les requêtes anonymes, qui pourraient essayer de reconstituer le fichier pour mieux le monnayer par la suite", explique Alexandre Archambault, avocat à Paris, spécialisé dans les problématiques liées au numérique, joint par RTL. L'un des deux sites avait déjà été désactivé ce jeudi soir.

La rédaction vous recommande
Lire la suite
Connecté Fil Futur Santé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants