La CNIL annonce enquêter sur la fuite de données médicales de 500 000 Français sur le net. En particulier, l'autorité administrative s'interroge sur l'absence de notification qui lui a été adressée, alors que la loi l'exige.

La révélation, en février, d’une très importante fuite de données médicales pourrait bien avoir des répercussions pour les entreprises concernées, avec à la clé de possibles sanctions. La Commission nationale de l’informatique et des libertés (CNIL) vient en effet de déclencher des contrôles pour constater l’ampleur de l’incident et vérifier l’attitude des responsables en charge de la sécurisation de ces informations.

Il faut dire que la publication d’articles dans la presse, d’abord par Zataz mi-février puis le 23 par Libération, sur cette fuite est préoccupante, par son ampleur tout d’abord, puisque près de 500 000 patients français sont concernés, mais aussi par sa nature. Ce ne sont pas n’importe quelles données qui sont en jeu. Celles qui circulent dans la nature sont des données sensibles, qui méritent une protection toute particulière.

C’est ce que confirme la CNIL : «  Les constatations préliminaires semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importante, et laissent à penser que les données proviendraient de laboratoires d’analyse médicale ». En tout, selon Libération, près de trente laboratoires sont concernés par cet incident.

Aucune alerte envoyée à la CNIL

Cette fuite est également alarmante du fait de l’absence manifeste de notification à la CNIL par le ou les organismes en cause. En effet, le communiqué de la CNIL paru le 24 février indique que l’autorité de contrôle a été prévenue par voie de presse. Or dans le cadre du Règlement général sur la protection des données (RGPD), les responsables de traitement de données personnelles doivent notifier la CNIL en cas de fuite.

Le RGPD fixe un délai maximal dans lequel cette notification doit être produite : 72 heures. En cas de défaut, une sanction pécuniaire peut être prononcée contre le ou les organismes qui ont failli à prévenir la CNIL et également les personnes concernées s’il y a un risque important pour elles. Les investigations de la CNIL permettront entre autres de faire la lumière sur d’éventuels manquements.

Avertissement alerte attention warning prudence
Les règles du RGPD imposent de notifier la CNIL en 72 heures en cas de violation. Ça n’a de toute évidence pas été le cas dans cette affaire. // Source : Duzern

Les données sensibles sont une catégorie spéciale, qui profitent d’un cadre réglementaire durci. Elles comprennent les opinions politiques, l’orientation sexuelle, les croyances religieuses, la situation médicale, les données biométriques, les informations génétiques, les activités sexuelles, le passif en matière pénale, l’appartenance ethnique, l’engagement syndical et les sensibilités philosophiques.

Or, ajoute la CNIL, « les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques ». De fait, il est attendu un niveau de précaution et de protection plus exigeant. Les investigations de la CNIL vont aussi permettre de s’en assurer. Là encore, un défaut de sécurisation pourrait conduire l’autorité administrative à prononcer des sanctions.

La chaîne répressive de la Commission nationale de l’informatique et des libertés pourrait par ailleurs ne pas être la seule à s’activer. La CNIL suggère également que des actions au pénal et au civil pourraient aussi émerger prochainement, des autorités, mais aussi de la part des personnes dont les données médicales, qui incluent entre autres leur état de santé, se sont retrouvées sur le net.

Partager sur les réseaux sociaux

La suite en vidéo