Fuite des données de santé : quels impacts et quelles dispositions à prendre ?
Depuis le 14 février 2021, un fichier informatique comportant des données personnelles de 500 000 patients circulerait sur Internet, provenant d’une trentaine de laboratoires de biologie médicale, situés pour l’essentiel dans le quart nord-ouest de la France. Ce fichier comporterait les données telle que l’adresse postale, téléphone, email, numéro de sécurité sociale mais aussi des données médicales dites sensibles (médecin traitant, mutuelle, pathologie, séropositivité, grossesse, etc.).
Alors que la section cybercriminalité du parquet de Paris a ouvert une enquête le 24 février 2021, dans le but de retrouver les responsables de ce vol de données, la Commission nationale de l’informatique et des libertés (CNIL) s’est, le même jour, chargé de contrôler cette fuite pour « constater officiellement la mise à disposition du fichier » et déterminer s’il y a eu des manquements de la part des laboratoires concernés et-ou de l’éditeur du logiciel informatique qu’utilisaient ces laboratoires.
Le potentiel de ce fichier divulgué est d’autant plus incommensurable pour le cyber criminel : les données risquent d’être utilisées pour mener des campagnes de phishing ciblé (hameçonnage) ou entrainer un risque d’usurpation d’identité et de trafic de fausses cartes vitales, grâce au numéro de sécurité sociale contenu dans le fichier.
Depuis 2019 où le RGPD est entré en vigueur en France, chaque organisme et entreprise collectant, conservant, utilisant une donnée à caractère personnelle (telle que le nom, le prénom de la personne, son adresse postale ou IP) se doit d’être conforme à la règlementation européenne, en procédant à traitement de données licite.
Ces responsables de traitement de données se doivent également « d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé. ».
Ainsi, les laboratoires semblent être en première ligne pour assurer une telle conformité car ils sont responsables du traitement et de la protection des données de leurs patients, la responsabilité des médecins ne semble pas avoir été mis en cause.
En cas de fuite de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une entreprise victime d’un vol de données doit non seulement notifier l’incident à la CNIL dans les 72 heures, mais aussi informer individuellement les personnes concernées. L’enquête en cours déterminera si ces obligations ont, ou non, été respectées.
Cette obligation de sécurité existe depuis plus de 40 ans dans la loi française mais a été renforcée depuis l’entrée en vigueur du RGPD avec la création de nouveaux outils tels que la notification des violations, l’analyse d’impact sur la protection des données ou les codes de conduite à élaborer.
Quid du chiffrement de données ? Celui-ci permet de rendre impossible la lecture de données à une personne qui n’en a pas la clé de déchiffrement. C’est une procédure de sécurité informatique qui permet, en cas d’intrusion ou de vol de données, d’empêcher que celles-ci soient lues, utilisées, vendues. Cette garantie de protection est conseillée voire obligatoire dans certains cas.
Notre Cabinet UGGC et son équipe d’Avocats spécialisés en droit des données sont à votre disposition pour vous assister dans votre audit & conformité RGPD.
Par l’équipe IP/IT du Cabinet UGGC
Source : CNIL / Libération