BFM Business
Tech

Fuite de données de santé: comment savoir si l'on est concerné?

Un fichier concernant près de 500.000 Français circule en ligne.

Un fichier concernant près de 500.000 Français circule en ligne. - Pixabay

Les patients recensés dans l'un des plus larges fichiers de données médicales jamais divulgués en ligne se trouvent démunis après une telle fuite de données.

Un très large fichier comportant des données médicales sensibles, allant du groupe sanguin au médecin traitant en passant par le numéro de Sécurité sociale, circule sur Internet. Près de 500.000 Français sont concernés. Dans ce même fichier figurent leurs coordonnées mais aussi des informations sur leur groupe sanguin, voire sur leur état de santé.

Pourtant, à l'heure actuelle, aucun de ces Français n'a directement été notifié d'une telle fuite de données. Les recours à leur disposition s'avèrent extrêmement limités. Deux moteurs de recherche ont d'ores et déjà été mis en ligne pour savoir si l'on figure, ou non, dans le fichier dérobé.

Des notifications au cas par cas attendues

Le premier propose d'inscrire son nom et prénom et le second, son numéro de Sécurité sociale pour les comparer aux informations présentes dans la base. Mais tous deux s'avèrent en réalité illégaux. Le traitement de données à caractère médical est en effet réglementé en France, et empêche la mise en ligne de telles informations sans autorisation préalable. La base en question provenant d'une infraction, il est par ailleurs interdit de l'avoir en sa possession, en vertu de l'article 321-1 du Code pénal.

La Cnil, à savoir le gendarme français des données personnelles, s'est emparée du sujet. L'institution a ouvert une enquête ce mercredi pour faire la lumière sur cet incident, et identifier les manquements ayant conduit à cette fuite.

Les données en question proviennent, d'après Libération, d'une trentaine de laboratoires français, situés dans le quart nord-ouest de la France. D'après Le Télégramme, près de 350.000 Bretons seraient concernés, dont plusieurs personnalités.

Le RGPD, le règlement européen en vigueur en matière de protection des données personnelles, oblige les "responsables de traitement" à notifier les personnes concernées par une fuite de données, dont ils sont en temps normal chargés d'assurer la protection.

L'article 34 du texte oblige notamment à envoyer une notification au cas par cas aux victimes. Par un court communiqué, la Cnil a ce mercredi rappelé cette obligation... qui n'a pas encore été tenue par les établissements concernés. Tous encourent une sanction pénale s'ils ne s'y plient pas.

https://twitter.com/Elsa_Trujillo_?s=09 Elsa Trujillo Journaliste BFM Tech