Fuite massive de données personnelles de santé

Les données médicales de près de 500 000 personnes ont été exposées en ligne à leur insu. Le 4 mars 2021, la justice a ordonné aux principaux fournisseurs d'accès à internet français de bloquer sans délai l'accès au site hébergeant le fichier incriminé.

Le 23 février 2021, le journal Libération révélait au grand public l'existence d'un fichier disponible en ligne contenant des données de santé de près de 500 000 individus, telles que des précisions sur des pathologies ou des traitements médicamenteux suivis. Des cyberattaques perpétrées sur les systèmes d'information de plusieurs laboratoires français, tous équipés d'un même logiciel de gestion intitulé Dedalus, semblent être à l'origine de cette fuite massive et, conséquemment, de la constitution et du partage illicites de ce fichier.

La Commission nationale de l'informatique et des libertés (CNIL), « informée par les médias », s'est empressée dès le lendemain d'enclencher une procédure, et notamment de demander à l'éditeur du site, puis à l'hébergeur de celui-ci de retirer ce fichier – toutefois sans succès. Très rapidement donc, elle a assigné en référé d'heure à heure les quatre grands fournisseurs d'accès à internet (FAI) français (Orange, SFR, Free et Bouygues Télécom) pour voir rendre inaccessible la base de données en question ou le site l'hébergeant ; par une ordonnance du 4 mars 2021, le premier vice-président a enjoint aux FAI de mettre en œuvre « toutes les mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du service de communication au public en ligne » des contenus litigieux, sans délai, pour une période de dix-huit mois.

La CNIL a ultérieurement indiqué au grand public que les personnes concernées seraient contactées dans les plus brefs délais par les laboratoires en question, sur le fondement de l'article 34 du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD), en leur rappelant par ailleurs leur droit de saisir les tribunaux civils, seuls compétents pour statuer « sur l'existence et l'évaluation [du] préjudice pouvant mener à indemnisation » (CNIL, Fuite massive de données de santé : comment savoir si elle vous concerne et que pouvez-vous faire ?, 1er mars 2021.

Cette décision met en lumière l'enjeu primordial de la sécurité des données, et plus particulièrement de celles dites « de santé », ainsi que le rôle central appelé à jouer par les FAI dans la protection de la vie privée des individus.

La protection des données de santé, un enjeu contemporain majeur pris en compte par la CNIL

Si toutes les données personnelles doivent faire l'objet de mesures de sécurité adéquates en vertu de l'article 32 du RGPD, les données sensibles dites « particulières » selon l'article 9 de celui-ci invitent à une vigilance renforcée de la part du responsable de traitement, dès lors qu'elles génèrent naturellement un risque accru d'atteinte à l'intimité des personnes concernées. Tel est le cas, entre autres, des données « concernant la santé ».

Ainsi, la fuite d'informations médicales concernant près d'un demi-million d'individus constitue une infraction au droit des données personnelles d'une particulière gravité, compte tenu du volume conséquent et de la nature hautement confidentielle de celles-ci. Une violation d'autant plus grave qu'elle date d'il y a plusieurs mois, selon l'Agence nationale de la sécurité des systèmes d'information qui aurait alerté le ministère des Solidarités et de la Santé de la fuite dès novembre 2020.

Surtout, cet incident majeur particulièrement médiatisé appelle deux remarques :

  • la question de la sécurité des données, en particulier celles de catégories dites « sensibles », doit être envisagée le plus en amont possible du traitement et avec le plus grand soin par les entités concernées. Les mesures techniques et organisationnelles adéquates mises en place par le responsable de traitement doivent être régulièrement auditées et, si besoin est, renforcées pour tenir compte de l'évolution des risques et menaces.
  • postérieurement à une violation de données avérée, l'article 33 du RGPD requiert de la part du responsable de traitement une notification à l'autorité de contrôle dans les plus brefs délais (théoriquement soixante-douze heures) et aux personnes concernées en cas de « risque pour les droits et libertés des personnes physiques », lequel est caractérisé en présence de données de santé. Cette notification n'a pas eu lieu en l'espèce, la CNIL ayant été informée par les médias, ce qui a d'autant retardé l'intervention de l'autorité judiciaire. D'un point de vue juridique donc, mais également d'un point de vue moral, les entités concernées par une telle faille de sécurité ayant entraîné une fuite massive d'informations confidentielles ne sauraient la passer sous silence par crainte d'une sanction ultérieure, laquelle est identique à celle applicable à une violation de l'article 32 du RGPD.

Notons par ailleurs un défaut majeur de coordination entre les différents services de l'État, ni l'ANSSI ni son ministère de tutelle n'ayant informé la CNIL de la faille repérée.

Consciente de la très grande attention accordée par les individus à leurs informations médicales, en particulier en période d'épidémie généralisée et de généralisation du recours à des outils numériques de gestion de la santé des citoyens (entre autres, application StopCovid, prise de rendez-vous en ligne pour la vaccination, passeport sanitaire, Health Data Hub), la CNIL a inscrit « la sécurisation des données de santé » parmi ses trois « thématiques prioritaires de contrôle en 2021 ».

L'ordonnance de référé du 4 mars 2021 fut aussi l'occasion d'inscrire les FAI au cœur de la lutte contre l'accès et la diffusion de contenus illicites publiés en ligne, une situation sans nul doute appelée à se renouveler compte tenu de l'informatisation accélérée de nos activités, la généralisation massive de la cybercriminalité telle que les intrusions non autorisées dans les systèmes de traitement de l'information et de la vigilance renforcée de la CNIL.

Les fournisseurs d'accès à internet comme recours efficace en matière de lutte contre les contenus illicites

La décision de référé commentée enjoint aux quatre grands FAI de bloquer immédiatement l'accès par les internautes au site où le fichier de données est hébergé, sur le fondement :

  • des articles 1 et 21.IV de la loi Informatique et Libertés du 6 janvier 1978 modifiée, permettant à la juridiction compétente d'ordonner par référé toute mesure nécessaire à la sauvegarde des droits et libertés des citoyens en lien avec l'informatique ; et surtout
  • de l'article 6.I.8 de la LCEN du 21 juin 2004, permettant à l'autorité judiciaire de prescrire aux hébergeurs, ou à défaut aux FAI, « toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne ».

La délégation de contrôle de la CNIL a relevé que le fichier incriminé était disponible sur un site localisé à Guernesey, dont l'adresse de contact renvoyait à un message d'erreur, et était hébergé par la société californienne CloudFare, laquelle n'a pas répondu aux sollicitations de l'autorité française. Dès lors, la seule option ouverte était de solliciter les principaux fournisseurs d'accès à internet français, compétents pour bloquer l'accès au service de communication en ligne concerné.

À l'occasion de cette procédure, aucune contestation de principe quant au caractère « accessoire » de leur responsabilité, prévue en article 6.I.8 de la LCEN, n'a été soulevée par ces FAI, probablement conscients de la nécessité impérieuse de protéger les intérêts et la vie privée des individus concernés par la violation. Ceux-ci n'ont d'ailleurs pas l'intention d'interjeter appel de la décision.

Gageons que la sollicitation des FAI ayant « pignon sur rue » pour mettre fin à des situations d'urgence telles que celle-ci est amenée à se réitérer, dès lors que la dématérialisation de tous les pans de notre société implique le recours croissant à des hébergeurs de données parfois situés hors du territoire de l'Union européenne, et de ce fait difficilement joignables.

En conclusion, cet incident d'une gravité extrême dont les conséquences humaines sont encore impossibles à évaluer, rappelle à tous les responsables de traitement, et sous-traitants, que la sécurité des données, a fortiori sensibles, constitue une des clés de voûte du droit de la protection des données et un levier indispensable pour susciter la confiance des citoyens dans leurs outils et services innovants. Dans une ère de développement rapide du secteur de l'e-santé pour faire face aux défis sanitaires et humains, l'adhésion du public, indissociable d'un niveau de protection optimal de leurs informations confidentielles, est essentielle, et les investissements par les responsables de traitement en matière de sécurité informatique incontournables.

 

Par Isabelle Gavanon et Valentin Le Marec

Sources : TJ Paris, ord. réf., 4 mars 2021, n° 21/51823TJ Paris, ord. réf., 4 mars 2021, n° 21/51823.

© DALLOZ 2021