Le 23 février dernier, Libération révélait une fuite massive de données de santé concernant 500 000 personnes. La Commission Nationale Informatique et Libertés (CNIL) a alors procédé à des contrôles, lesquels laisseraient à penser que les données médicales proviendraient de laboratoires d’analyse médicale.
La Présidente de la CNIL a par conséquent saisi en référé le Tribunal judiciaire de Paris afin d’obtenir une décision de blocage de l’accès à ce fichier. C’est ainsi que par une décision du 4 mars 2021, le tribunal judiciaire de Paris a par ordonnance fait droit à la demande de la CNIL en enjoignant les principaux fournisseurs d’accès à internet (FAI) à bloquer l’accès à un site internet hébergeant le fichier comprenant des données relatives à près de 500 000 patients, comportant notamment des données de santé.
A ce stade, la CNIL a mené trois opérations de contrôle. Elle a également pris les mesures nécessaires auprès des organismes concernés afin que les personnes dont les données ont été diffusées soient informées de cette violation par les laboratoires dans les meilleurs délais. La CNIL poursuit ses investigations, notamment pour vérifier que les mesures techniques adéquates ont été prises afin de sécuriser les données traitées par les différents acteurs impliqués.
Comme le rappelle la CNIL sur son site, les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé. En cas de manquement à ces obligations la CNIL peut engager des actions répressives, sans préjudice des actions que les autres autorités compétentes seraient susceptibles de mener.
La CNIL livre également ses conseils dans l’hypothèse à l’attention des personnes physiques concernées par cette fuite afin qu’elles puissent faire valoir leurs droits et accomplir les démarchages leurs permettant de limiter les risques d’hameçonnage (phishing) et d’usurpation d’identité. Pour en savoir plus, cliquer sur le lien.
La CNIL indique demeuré attentive et n’exclut pas d’engager des actions répressives, « sans préjudice des actions que les autres autorités compétentes seraient susceptibles de mener ».
Par Cynthia Picart
05/03/21
