Après la Commission nationale de l’informatique et des libertés qui a annoncé le 24 février procéder à des contrôles suite à la fuite de données personnelles de santé touchant près de 500.000 patients, l’affaire prend une tournure judiciaire avec l’ouverture d’une enquête par le parquet de Paris.
Un fichier contenant les données personnelles de santé de près de 500.000 patients a été diffusé sur le darkweb. La section cyber du parquet de Paris a ouvert le 24 février une enquête des chefs d’accès et maintien frauduleux dans un système de traitement automatisé de données et extraction, détention et transmission frauduleuse de données contenues dans un tel système. Les investigations ont été confiées à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.
Les données en question reprennent les informations médico-administratives (numéros de sécurité sociale, rang CPAM notamment), données personnelles des patients (nom, prénoms, âge, adresses postale et mail, numéro de téléphone et informations sur les conjoints) groupe sanguin des patients et des indications sur l’état de santé des patients (diabète, VIH+, stérilité, fibromyalgie, etc.) formulées en clair dans une case commentaires dédiée.
Les informations personnelles des médecins suivant ces patients figurent également dans le fichier : nom, prénoms, adresses postale et mail, numéros de téléphone/fax et numéro RPPS (répertoire partagé des professionnels de santé).
Ces données n’auraient pas été vendues mais diffusées gratuitement après une querelle entre les pirates turcs sur leur commercialisation souterraine.
Plusieurs professionnels de santé mentionnés dans le fichier ont confirmé au site d’information l’exactitude des informations publiées, concernant leurs patients et les dates de rendez-vous en laboratoire d’analyse médicale.
Ce fichier regroupe les données personnelles de santé de patients présentant le trait commun de s’être rendus dans un laboratoire de biologie médicale. Une trentaine de laboratoires seraient surtout situés dans les départements du Morbihan, de l’Eure, du Loiret, des Côtes-d’Armor et dans une moindre mesure du Loir-et-Cher.
De son côté, la Cnil procède actuellement à des contrôles pour constater officiellement la mise à disposition du fichier : « Les constatations préliminaires semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importantes, et laissent à penser que les données proviendraient de laboratoires d’analyse médicale. Si ces éléments devaient être confirmés, il incombe aux organismes concernés qui ne l’auraient pas déjà fait, de procéder à une notification auprès de la Cnil, dans les 72 heures suivant le moment où ils en ont pris connaissance ».
La Cnil rappelle que les responsables de traitement « ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé ». En cas de manquement à ces obligations, la Cnil pourrait « engager des actions répressives, sans préjudice des actions que les autres autorités compétentes seraient susceptibles de mener ».
(source Wassinia ZIRAR – APMnews – TICsanté)