BFM Business

Données médicales: la justice ordonne à Orange, SFR, Bouygues Telecom et Free de bloquer un site hébergeant un fichier piraté

Les données médicales sensibles de près de 500.000 personnes circulent sur internet

Les données médicales sensibles de près de 500.000 personnes circulent sur internet - Philippe Huguen © 2019 AFP

Le tribunal judiciaire de Paris a ordonné aux quatre fournisseurs d'accès à internet français de bloquer sans délai un site qui hébergeait un fichier contenant des données sensibles sur près de 500.000 personnes.

Le tribunal judiciaire de Paris a ordonné jeudi aux quatre fournisseurs d'accès à internet français de bloquer sans délai un site qui hébergeait un fichier contenant des données sensibles sur près de 500.000 personnes en France, après une fuite majeure ayant touché des laboratoires d'analyse médicale.

Saisi en référé par la Commission informatique et libertés (Cnil), le tribunal judiciaire a enjoint les opérateurs Orange, SFR, Bouygues Telecom et Free de mettre en oeuvre ce blocage sans délai et pour une durée limitée à 18 mois, selon le jugement dont l'AFP a pris connaissance.

Le service d'hébergement gratuit de fichiers visé par le blocage avait enregistré son nom de domaine en juillet 2020 avec une extension correspondant à l'île de Guernesey. Il est distribué par l'accélérateur de contenus américain Cloudflare, "qui a laissé sans réponse les demandes de la Cnil".

28 laboratoires concernés par cette fuite

La commission avait constaté qu'un lien direct vers le fichier litigieux hébergé sur ce service était mis à disposition librement sur un forum de discussion. L'adresse précise du fichier ne pouvant être ciblée efficacement, le blocage du service a finalement été retenu par la justice.

"La mise en ligne de ce fichier, contenant de très nombreuses données relatives à l'identité et à la santé de près de 500.000 personnes, constitue une atteinte grave et immédiate aux droits des personnes concernées, notamment le droit au respect de la vie privée", a considéré le tribunal.

L'éditeur de logiciels pour les établissements de santé Dedalus France avait indiqué vendredi avoir identifié parmi ses clients 28 laboratoires concernés par cette fuite de données médicales, révélée par les médias plus tôt dans la semaine.

Ces laboratoires étaient répartis dans 6 départements des régions Bretagne, Centre-Val-de-Loire et Normandie.

L'AFP avait pu constater qu'un fichier comportant 491.840 noms, associés à des coordonnées (adresse postale, téléphone, email) et un numéro d'immatriculation à la sécurité sociale, circulait librement sur au moins un forum référencé par des moteurs de recherche.

Ces noms étaient parfois accompagnés d'indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse), des traitements médicamenteux ou des pathologies (notamment le VIH).

Depuis, le piratage fait l'objet d'une investigation par l'Agence nationale de la sécurité des systèmes d'information (Anssi), le Ministère des Solidarités et de la Santé, en lien avec la Cnil et l'éditeur de logiciel, et d'une enquête judiciaire confiée à la section cybercriminalité du parquet de Paris.

PS avec AFP