La révélation, en février, d’une très importante fuite de données médicales pourrait bien avoir des répercussions pour les entreprises concernées, avec à la clé de possibles sanctions. La Commission nationale de l’informatique et des libertés (CNIL) vient en effet de déclencher des contrôles pour constater l’ampleur de l’incident et vérifier l’attitude des responsables en charge de la sécurisation de ces informations.
Il faut dire que la publication d’articles dans la presse, d’abord par Zataz mi-février puis le 23 par Libération, sur cette fuite est préoccupante, par son ampleur tout d’abord, puisque près de 500 000 patients français sont concernés, mais aussi par sa nature. Ce ne sont pas n’importe quelles données qui sont en jeu. Celles qui circulent dans la nature sont des données sensibles, qui méritent une protection toute particulière.
En apprendre plus
Mais au fait, c’est quoi une donnée personnelle ?C’est ce que confirme la CNIL : « Les constatations préliminaires semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importante, et laissent à penser que les données proviendraient de laboratoires d’analyse médicale ». En tout, selon Libération, près de trente laboratoires sont concernés par cet incident.
Aucune alerte envoyée à la CNIL
Cette fuite est également alarmante du fait de l’absence manifeste de notification à la CNIL par le ou les organismes en cause. En effet, le communiqué de la CNIL paru le 24 février indique que l’autorité de contrôle a été prévenue par voie de presse. Or dans le cadre du Règlement général sur la protection des données (RGPD), les responsables de traitement de données personnelles doivent notifier la CNIL en cas de fuite.
Le RGPD fixe un délai maximal dans lequel cette notification doit être produite : 72 heures. En cas de défaut, une sanction pécuniaire peut être prononcée contre le ou les organismes qui ont failli à prévenir la CNIL et également les personnes concernées s’il y a un risque important pour elles. Les investigations de la CNIL permettront entre autres de faire la lumière sur d’éventuels manquements.
Les règles du RGPD imposent de notifier la CNIL en 72 heures en cas de violation. Ça n’a de toute évidence pas été le cas dans cette affaire. // Source : Duzern
Les données sensibles sont une catégorie spéciale, qui profitent d’un cadre réglementaire durci. Elles comprennent les opinions politiques, l’orientation sexuelle, les croyances religieuses, la situation médicale, les données biométriques, les informations génétiques, les activités sexuelles, le passif en matière pénale, l’appartenance ethnique, l’engagement syndical et les sensibilités philosophiques.
Or, ajoute la CNIL, « les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques ». De fait, il est attendu un niveau de précaution et de protection plus exigeant. Les investigations de la CNIL vont aussi permettre de s’en assurer. Là encore, un défaut de sécurisation pourrait conduire l’autorité administrative à prononcer des sanctions.
La chaîne répressive de la Commission nationale de l’informatique et des libertés pourrait par ailleurs ne pas être la seule à s’activer. La CNIL suggère également que des actions au pénal et au civil pourraient aussi émerger prochainement, des autorités, mais aussi de la part des personnes dont les données médicales, qui incluent entre autres leur état de santé, se sont retrouvées sur le net.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
