A la suite d’articles de presse dénonçant un vol massif de données médicales de Français, la Cnil annonce le 24 février mener l’enquête. Elle déclare qu’elle procède actuellement à des contrôles pour vérifier officiellement s’il y a bien la mise à disposition d’un fichier contenant l’état de santé de près de 500 000 personnes.
Les données proviendraient de laboratoires d’analyse médicale
A ce stade préliminaire, les constations de la Cnil semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importante. « Les données proviendraient de laboratoires d’analyse médicale » pense la Cnil.
L’irruption de ce vol massif de données de santé déstabilise un dispositif dans lequel les entreprises victimes d’une attaque informatique sont tenues d’avertir la Cnil dans les 72 heures. « Si ces éléments devaient être confirmés, il incombe aux organismes concernés qui ne l’auraient pas déjà fait, de procéder à une notification auprès de la Cnil, dans les 72 heures suivant le moment où ils en ont pris connaissance » rappelle la Cnil.
Les personnes concernées doivent être informées individuellement
Le cas du vol de données personnelles de santé constitue un contexte aggravant. « Lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées » prévient la Cnil qui souligne que cela peut être le cas si des données de santé particulièrement sensibles ont été divulguées et en nombre important.
Le vol concernerait près de 500 000 Français. Les informations personnelles publiées concernent les noms, adresses email, adresses postales, téléphone ainsi qu’éventuellement des informations médicales sur l’état de santé et les traitements associés. Le vol a été identifié par Zataz dès le 19 février et par Libération.