La CNIL annonce avoir demandé au tribunal judiciaire de Paris d'ordonner aux opérateurs français de bloquer l’accès à un site hébergeant les données de santé piratées de près de 500 000 personnes.

L’affaire de la très importante fuite de données de santé, qui concerne près de 500 000 patients français, connaît un nouveau rebondissement judiciaire. Dans un communiqué du 4 mars, la Commission nationale de l’informatique et des libertés (CNIL) fait savoir qu’elle a saisi le tribunal judiciaire de Paris pour obtenir le blocage d’un site web qui héberge les données médicales qui se sont retrouvées dans la nature.

Blocage d’un hébergeur donnant accès à un fichier piraté

On apprend également que le tribunal judiciaire de Paris a donné suite à la demande de la CNIL, qui est en première ligne dans ce dossier, compte tenu de la nature des données qui ont été exposées et de leur sensibilité. Le tribunal judiciaire de Paris a ainsi ordonné aux principaux fournisseurs d’accès à internet de bloquer l’accès au site litigieux, non nommé, pour limiter sa visibilité, en tout cas en France.

L’autorité administrative ne précise pas quels sont les opérateurs contraints de mettre en œuvre des moyens techniques pour empêcher leurs abonnés de se rendre sur le site, mais l’AFP indique qu’il s’agit des quatre plus gros : Orange, SFR, Bouygues Telecom et Free. Cela laisse filer entre les mailles du filet les FAI associatifs, par exemple, mais le fait est que ces quatre opérateurs-là constituent l’essentiel du marché.

Toujours selon l’agence de presse, qui a pu par ailleurs consulter le jugement du tribunal, il apparait que la CNIL a constaté que le fichier contenant les données de santé des 500 000 patients était proposé au téléchargement via un service d’hébergement gratuit de fichiers. Un lien de téléchargement était proposé sur un forum de discussion, permettant en théorie à n’importe qui de le récupérer.

Tribunal Judiciaire de Paris
Le tribunal judiciaire de Paris // Source : Fred Romero

Or, il apparait que le blocage a visé directement le service lui-même et non pas seulement le lien précis menant vers ledit fichier, parce que cette dernière option n’aurait pas permis de le cibler efficacement. Selon le jugement, la durée du blocage du site n’excédera pas les 18 mois. Selon nos constatations, néanmoins, le blocage n’est pas encore opérationnel, en tout cas chez l’un des quatre FAI concernés.

L’hébergeur en cause, est-il précisé, se sert du domaine de premier niveau réservé à l’île de Guernesey (« .gg »). Il est également indiqué que ce service s’en sert que depuis quelque temps, son domaine ayant été enregistré en juillet 2020. Par ailleurs, il est indiqué qu’il se sert des services de l’entreprise américaine Cloudflare, pour optimiser sa présence en ligne, mais que ce dernier n’a pas donné suite aux requêtes de la CNIL.

Dans cette affaire, la CNIL n’avait pas été prévenue en amont de l’incident. C’est par la presse que l’autorité de protection a découvert l’affaire. Depuis lors, ses services sont mobilisés pour procéder aux contrôles, afin de vérifier si les laboratoires respectaient les exigences de la loi en matière de protection des données de santé et, le cas échéant, si des mesures techniques ont été prises depuis pour les sécuriser.

À ce stade, trois opérations de contrôle ont été menées. Par ailleurs, une information aux personnes est en train d’être délivrée, afin que les victimes sachent ce qu’il s’est passé et quelle conduite il convient d’adopter pour se protéger. D’autres investigations sont en cours, tout comme une enquête judiciaire. La CNIL ajoute qu’elle se réserve la possibilité de demander d’autres mesures, en lien avec le parquet de Paris et l’ANSSI.

Avez-vous la connexion Internet la plus rapide de la galaxie ?

Partager sur les réseaux sociaux

La suite en vidéo