Une base en vente sur des sites malfamés contient les données de santé de 500 000 Français. La provenance de ces données n’est pas encore confirmée, mais la Cnil a d’ores et déjà sorti les griffes. 

Ce n’est certainement pas la fuite de données du siècle, mais elle inquiète par son ampleur et par le type d’informations dérobées. Des pirates commercialisent en effet une base contenant les données de santé de quelques centaines de milliers de Français. La fuite a été découverte par Zataz, avant qu’une enquête de Libération ne confirme l’existence de cette base de 491 939 fichiers contenant de nombreuses informations sensibles, allant du nom à l’adresse postale en passant par le nom du médecin, la date d’hospitalisation, le téléphone ou encore le numéro de sécurité sociale. Libé nous apprend en outre que certaines entrées comportent des mentions telles que « Levothyrox », « grossesse » ou encore « séropositif HIV », soit des pathologies et des traitements. 

En résumé, ce sont plus de 400 000 Français et Françaises qui sont concernées par la fuite de leurs données personnelles, surtout leurs données de santé. Des données qui, selon Libération, datent de 2015 à 2020 et concernent principalement des laboratoires d'analyse situés dans les départements du Morbihan, de l'Eure, du Loiret et des Côtes-d'Armor. Nos confrères ont poursuivi leurs investigations en interrogeant les labos et en leur découvrant un point commun : tous utilisent ou ont utilisé un même logiciel de saisie de renseignements médico-administratifs, commercialisé par Dedalus France. 

La Cnil sur le coup

Hier, dans un communiqué quelque peu surréaliste, Dedalus signale avoir “été mentionné dans des articles de presse relatant des fuites de données”, l’entreprise n’étant ainsi vraisemblablement pas au courant d’une possible faille de sécurité. Elle ajoute qu’une “enquête approfondie est en cours avec le support d’une équipe d’experts indépendants” et se dit “aux côtés des laboratoires et de leurs patients dont les informations ont été divulguées”.

La Cnil a quant à elle réagi en annonçant procéder “actuellement à des contrôles pour constater officiellement la mise à disposition du fichier”. Les informations à la disposition du gendarme des données personnelles vont dans le sens d’une violation de données “d’une ampleur et d’une gravité particulièrement importante”. Et la Cnil de rappeler que, dans ce genre de situation, les établissements concernés ont l’obligation de notifier la Cnil ainsi que leurs utilisateurs, et accessoirement “l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé”.