ACCUEIL > QUESTION D'ACTU > Piratage des données de santé de 500 000 patients : que faire si cela vous arrive ?

Conseils juridiques

Piratage des données de santé de 500 000 patients : que faire si cela vous arrive ?

Par Mathilde Debry

Un fichier contenant des centaines de milliers d'informations médicales et personnelles circule sur le web depuis quelques jours. Voici ce qu'il faut faire si vous êtes concernés. 

peshkov / istock.
Les particuliers peuvent porter plainte.
La CNIL peut aussi prononcer des amendes.
Ensuite, il est possible d’engager la responsabilité de celui qui a traité et hébergé les données, en évoquant la violation du secret médical. Dans ce cas, il peut y avoir des plaintes pénales, ordinales, et une responsabilité civile éventuelle.

Adresse, numéro de sécurité sociale, groupe sanguin, traitements, maladie… Comme a pu le constater l’AFP mardi 23 février, un fichier comportant les données médicales sensibles de près de 500 000 personnes en France circule sur internet. Le journal Libération et le blog spécialisé en cybersécurité Zataz sont les premiers à avoir repéré la fuite. Le parquet vient d'ouvrir une enquête. 

"Les particuliers peuvent porter plainte"

491 840 noms sont associés à des coordonnées (adresse postale, téléphone, email) et un numéro de sécurité sociale. Des indications figurent aussi parfois sur le groupe sanguin, le médecin traitant, la mutuelle, l'état de santé (dont une potentielle grossesse), les traitements médicamenteux, ou les maladies (notamment le VIH).

Que faire si cela vous arrive ? "Les particuliers peuvent porter plainte. Après, il va falloir que l’enquête détermine quelle est la source des fuites, pour voir comment on peut avoir un droit de rectification ou un droit de retrait des données, ce que prévoit le règlement général sur la protection des données (RGPD). Ensuite, il est possible d’engager la responsabilité de celui qui a traité et hébergé les données, en évoquant la violation du secret médical. Dans ce cas, il peut y avoir des plaintes pénales, ordinales, et une responsabilité civile éventuelle si on apporte la preuve que cela a causé un préjudice au particulier. Enfin, la CNIL est aussi en mesure de prononcer des amendes, qui peuvent aller jusqu’à 4% du chiffre d’affaire des cabinets médicaux ou des établissements de santé", détaille Laure Soulier, avocate associée au cabinet Auber, intervenant particulièrement dans les domaines médicaux.

Précisons également que les employeurs ne peuvent en aucun cas s’appuyer sur des données médicales rendues publiques sans l’accord du particulier pour le licencier.

Quel rôle des laboratoires de biologie médicale ?

Selon Libération, les informations seraient issues d'une trentaine de laboratoires de biologie médicale, localisés essentiellement dans le quart nord-ouest de la France. Les données proviendraient de prélèvements effectués entre 2015 et octobre 2020. Lors de cette période, le même logiciel de saisie de renseignements médico-administratifs, édité par le groupe Dedalus, aurait été utilisé par les laboratoires pris dans la tourmente.

"Nous n'avons aucune certitude quant au fait que ce soit uniquement un logiciel Dedalus France qui est en cause dans cette affaire", a expliqué à l'AFP le directeur général délégué Didier Neyrat. "Nous avons mis en place une cellule de crise car nous prenons cela au sérieux et nous allons travailler en partenariat avec nos clients pour comprendre ce qu'il s'est passé", a-t-il poursuivi.

Sécuriser au maximum les données médicales en amont

Selon Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz, ces informations médicales étaient l'objet d'une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l'échange de bases de données volées. L'un d'entre eux les aurait diffusées sur le Web suite à une dispute. "500 000 données, c'est déjà énorme et rien n'empêche de penser que les pirates en possèdent encore beaucoup plus", a-t-il averti sur l'AFP.

Les systèmes informatiques des hôpitaux de Dax et de Villefranche-sur-Saône (Rhône) ont aussi récemment été piratés. Pour limiter les dégâts de tels événements, Laure Soulier conseille aux professionnels de santé de sécuriser au maximum les données médicales en amont. "Il faut tout mettre en œuvre pour qu’il y est un niveau de sécurisation optimale, au niveau du serveur notamment. S’assurer contre les cybers attaques est aussi important", estime l’avocate. Une fois que le mal est fait, "il ne faut surtout pas céder aux demandes de rançon. Ensuite, il faut faire des déclarations auprès de la CNIL (il y a un délai de 72 heures). Il faut aussi informer le plus vite possible les personnes qui ont été identifiées sur le Web, et porter plainte. Et, selon la spécialité du médecin, il est important de se rapprocher tout de suite de sa compagnie d’assurance", conclut Laure Soulier.