Revue de Presse
Publié en une du quotidien Libération daté du mercredi 24/2/2021, le journal révèle la diffusion sur le web et les réseaux sociaux d’un fichier informatique de données médicales de près de 500 000 patients. La nature des informations médicales difusées orienteraient leur origine vers un piratage d’une ampleur sans précédant qu’auraient subi des laboratoires de biologie médicale, particulièrement dans le nord-ouest de la France.
Cette information est abondamment confirmée et relayée du 23/2 au 25/2 par les principaux média nationaux radio et presse:
France Inter : “Ce que l’on sait de la fuite “sans précédent” de données médicales de laboratoires d’analyses”
France Bleue : “Après la fuite de données médicales de 500.000 personnes en France, la CNIL lance des contrôles”
Le Monde : “Fuite massive de données médicales : une enquête judiciaire ouverte”
Le Point : “Fuite massive de données médicales: enquête judiciaire ouverte à Paris”
Le Figaro : “Les 500.000 dossiers médicaux trouvés en lignent viennent de laboratoires de Bretagne, de Normandie et de Centre-Val-de-Loire”
Quelles autorités publiques concernées ?
CNIL
La CNIL, dans un article consacré à cette violation inédite de données de santé, précise son rôle en matière de cybersécurité. Elle précise également que “l’obligation de sécurité est inscrite dans la loi depuis plus de 40 ans, et a été renforcée par le RGPD”. La CNIL rappelle notamment aux structures de santé leurs obligations en tant que responsables de traitement :
“l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé”.
L’obligation de Notifier une violation de données personnelles à la CNIL
Agence du Numérique en Santé (ANS)
L’ANS maintient une structure nationale d’assistance et d’appui appelée « Cellule Accompagnement Cybersécurité des Structures de Santé » (ACSS). Le Ministère des Solidarités et de la Santé a mis en place depuis 1er octobre 2017 :
la Cellule ACSS : un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information (SSI) des structures de santé.
La cellule ACSS a pour objectif de :
- renforcer le suivi des incidents SI des établissements de santé, des laboratoires de biologies et des centres de radiothérapies
- alerter et informer l’ensemble des acteurs dans le cas d’une menace;
- partager les bonnes pratiques en matière de prévention et les réponses à apporter aux incidents.
Le code de santé publique rend également obligatoire pour les établissements de santé la déclaration des incidents graves de sécurité des systèmes d’information (Art. L. 1111-8-2 CSP)
Ministère de la Solidarité et de la Santé
Le Ministère a établi une chaîne fonctionnelle de sécurité pour contrer les menaces et vulnérabilités des systèmes d’information. Le Ministère de la Solidarité et de la Santé dispose d’un Haut fonctionnaire de défense et de sécurité (HFDS). Ses missions concernent la protection de la population, la permanence des institutions et la sécurité sanitaire. Il est assisté au Ministère d’un Fonctionnaire de sécurité des systèmes d’information (FSSI) notamment pour la cybersécurité
Enfin le Ministère et la l’ANS mettent en œuvre, spécifiquement pour la cybersécurité, en santé un Portail d’Accompagnement Cybersécurité des Structures de Santé
Qui contacter en cas de violation de données?
- Contacter la Cellule ACSS : cyberveille@sante.gouv.fr
- Notifier à la CNIL une violation des données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
- Contacter le Fonctionnaire de sécurité des systèmes d’information FSSI au Ministère de la Santé : ssi@sg.social.gouv.fr
- Portail d’Accompagnement Cybersécurité des Structures de Santé https://cyberveille-sante.gouv.fr/contact
Comment savoir si cette fuite de donnée vous concerne et que pouvez-vous faire ? Les réponses de la CNIL
La CNIL répond aux questions des personnes potentiellement concernées, suite à la publication sur internet des données médicales de près de 500 000 personnes. Les informations officiellement disponibles sont publiées:
- Sur un article dédié aux réponses formulées par la CNIL
- Sur une page récapitulative que lui consacre le site gratuit d’information “vie-publique.fr” réalisé par la DILA (Direction de l’information légale et administrative) et rattachée aux services du Premier ministre.