Fuite de données médicales : l’ordonnance de blocage obtenue par la CNIL
Health Fest
Le 05 mars 2021 à 10h09
6 min
Droit
Droit
La Commission nationale de l’informatique et des libertés (CNIL) a obtenu en justice le blocage du site diffusant le fichier des patients. Next INpact diffuse l’ordonnance de référé rendue le 4 mars 2021, par le premier vice-président au tribunal judiciaire de Paris.
La fuite du fichier contenant les informations de 500 000 patients a déjà des répercussions judiciaires. Dans un communiqué, la CNIL indique avoir saisi la justice aux fins d’obtenir le blocage de l’un des sites hébergeant le fameux fichier.
« Cette décision fait suite aux investigations immédiatement lancées par la CNIL après la révélation dans la presse de cette violation de données » prévient encore l’autorité qui révèle avoir mené jusqu’alors trois opérations de contrôle.
Elle indique aussi avoir « pris les mesures nécessaires auprès des organismes concernés afin que les personnes dont les données ont été diffusées soient informées de cette violation par les laboratoires dans les meilleurs délais ».
Que prévoit exactement cette fameuse ordonnance de blocage ?
Un éditeur inconnu, des demandes restées sans réponse
Déjà, on découvre l’historique des démarches entreprises par la commission. Le 24 février 2021, ses services ont procédé à une opération de contrôle en ligne, pour constater qu’un lien partagé sur un forum de discussion pointait vers le fameux fichier hébergé sur un serveur tiers.
La CNIL a analysé ce fichier aux 491 840 lignes. Selon le résumé dressé par l’ordonnance :
« Chaque ligne se rapporte à une personne physique identifiée par son nom d’usage (éventuellement accompagné de son nom patronymique), son prénom, sa date de naissance, son numéro de téléphone fixe et/ou portable, son numéro de sécurité sociale (NIR), son adresse postale et son adresse électronique. Ces informations sont complétées par d’ autres données, comme le nom et les coordonnées du médecin traitant, la date de la dernière visite médicale, le nom de l’assuré social dont le patient est ayant-droit ».
« Des données médicales sont également renseignées, comme le groupe sanguin, le facteur rhésus et l’existence ou non d’une affection de longue durée (ALD). Un champ nommé « commentaires » contient des indications libres qui peuvent renvoyer, à nouveau, à d’autres données à caractère personnel (numéro de mutuelle, par exemple). Plusieurs de ces champs contiennent des indications relatives à l’état de santé des intéressées ».
Constatant l'ampleur de la fuite, elle a tenté d’obtenir le retrait de ce fichier auprès de l'éditeur de ce site « .gg » (pour les îles de Guernesey). Vainement puisque l’adresse de son contact a renvoyé un message d’erreur. Quant à CloudFlare, l'intermédiaire utilisé par ce site n’a même pas daigné répondre.
Faute de mieux, le 1er mars 2021, une assignation en référé d’heure à heure a été délivrée à la requête de la CNIL.
Un blocage de 18 mois aux frais des FAI
Elle a enjoint Orange, Free, SFR et Bouygues Télécom de « mettre en œuvre ou de faire mettre en œuvre, sans délai et de manière définitive et illimitée, toutes mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du fichier "full *****.7z" ». À défaut, elle a réclamé le blocage du site « *****.gg) ou à défaut d’une adresse URL pointant vers le fameux fichier.
En face, les FAI lui ont expliqué qu’ils ne pouvaient ni bloquer ni procéder à la suppression d'un seul fichier ou d'un contenu qui se trouverait sur un site.
Dans son ordonnance, le juge a relevé sans mal que « la mise en ligne de ce fichier, contenant de très nombreuses données relatives à l’identité et à la santé de près de 500 000 personnes, constitue une atteinte grave et immédiate aux droits des personnes concernées, notamment le droit au respect de la vie privée ».
Et pour faire cesser cette atteinte, il n’y a plus mille solutions au regard du contexte : le blocage.
Si la CNIL défendait une mesure illimitée dans le temps, le juge a opté pour une solution présentée comme plus appropriée et proportionnée : « délivrer injonction aux fournisseurs d’accès à internet de mettre en oeuvre ou de faire mettre en oeuvre, sans délai et pour une période de 18 mois à compter de la présente décision toutes mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du service de communication au public en ligne "*****.gg" sur leurs réseaux ».
Relevons enfin que le juge judiciaire n’a pas voulu condamner la CNIL, autorité administrative indépendante, « à prendre en charge le coût des mesures effectivement prises par les fournisseurs d'accès internet au vu de la séparation des autorités administratives et judiciaires ».
Un fichier simplement planqué sous le tapis
« Cette décision montre qu’un référé heure à heure peut fonctionner. Assignation le 1er, audience le 3 et décision le 4 mars », commente Me Alexandre Archambault.
L’avocat spécialisé dans le numérique relève toutefois que si la solution va réduire l’exposition du fichier, « celui-ci reste accessible à des fins malveillantes » (d’où la sécurisation des URL citées dans le PDF, réalisée par nos soins).
« La CNIL a fait au plus pressé tout en faisant bien les choses : un référé heure à heure et une procédure contradictoire ». Seule solution pour gagner davantage en efficacité : passer par le guichet des autorités américaines ou saisir un juge californien pour demander l’intervention de CloudFare. Un traitement qui s'inscrit néanmoins dans un calendrier plus long.
Fuite de données médicales : l’ordonnance de blocage obtenue par la CNIL
-
Un éditeur inconnu, des demandes restées sans réponse
-
Un blocage de 18 mois aux frais des FAI
-
Un fichier simplement planqué sous le tapis
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/03/2021 à 10h29
Je suis assez sceptique de la démarche de blocage de la CNIL. Une fois les informations disponibles de manière publique le mal est fait et elles seront accessibles à qui voudra bien se donner le mal de les chercher (notamment via les réseaux P2P).
J’y vois plus un geste d’affichage pour montrer qu’on agit rapidement qu’une stratégie efficace pour tenter de prévenir ce genre de problème à l’avenir. Après je peux comprendre que des mesures de fond, qui elles seront probablement plus efficaces, sont peu compatibles avec le temps médiatique.
Le 05/03/2021 à 12h45
Lorsque l’hébergeur et autres intermédiaires techniques sont hors juridiction française/européenne et ne réponde/refuse les demandes de la CNIL comment faire ? Elle doit toujours faire cesser l’infraction de diffusion des données avec les moyens dont elle dispose, actuellement uniquement le blocage DNS des FAI français.
Lorsqu’un magasin vend quelque chose d’illégal (parmi d’autres produits légaux), si le gérant ne cesse pas son infraction, celui-ci doit être fermé administrativement.
Le 05/03/2021 à 11h29
Hum je suis circonspect quand au fait qu’ils en viennent à bloquer l’intégralité d’un site de partage de fichiers juste parce que un seul fichier hébergé pose souci.
Le 05/03/2021 à 15h20
Donc un simple serveur dns externe et on pourra accéder au site sans problème ?
Le 05/03/2021 à 15h58
Lorsque des données personnelles ont fuitées, vouloir endiguer la fuite par des mesures vaines et impossible à mettre en œuvre n’est pas une solution.
Permettre aux victimes de changer de NIR et de n° de téléphone au frais du responsable de traitement serait déjà un départ plus pérenne. Leur permettre de déménager et de changer leurs nom et prénom serait bien aussi mais me semble plus compliqué à mettre en œuvre.
Le 05/03/2021 à 17h23
Je ne suis pas sur que le NIR a été conçu pour qu’un individu puisse en avoir plusieurs au cours de sa vie…
Le 05/03/2021 à 17h43
OpenDNS et VPN externe …? le blocage résiste t il ? Sinon c’est comme pi…er dans un violon leur truc …
Le 06/03/2021 à 09h15
Bien sûr que non, toute personne cherchant volontairement à accéder à ces données pourra le faire. Cependant, comme le dit mrintrepide, la CNIL ne peut pas ne pas faire tout ce qu’elle peut pour lutter contre cette fuite. Et au passage, toute personne qui accèdera depuis un des FAI français principaux à ces données ne pourra pas dire qu’elle est tombée dessus “par hasard” ;-)
Impossible de changer de NIR, celui-ci est construit selon une règle simple (1 ou 2 selon le sexe, année et mois de naissance, département de naissance, code commune de naissance, ordre du mois dans le registre de l’état civil de la commune + clé de contrôle) et, comme indiqué sur Wikipédia (référence à un doc de la CNIL, justement), “Il s’agit d’un « identifiant fiable et stable, conçu pour rester immuable la vie durant »”
En outre il faudrait aussi changer d’adresse électronique. Le nom du médecin traitant aussi a fuité, d’autres infos de santé (informations non seulement personnelles mais “sensibles” au sens RGPD).
Les risques majeurs sont ceux du phishing et de l’usurpation d’identité.
On en vient là au point le plus important, à mon avis, de l’article et de l’action de la CNIL : “Elle indique aussi avoir « pris les mesures nécessaires auprès des organismes concernés afin que les personnes dont les données ont été diffusées soient informées de cette violation par les laboratoires dans les meilleurs délais ».”
Tiens, on y parle de laboratoires…
On rappellera que depuis l’entrée en vigueur du RGPD (mai 2018), tout organisme (entreprise, administration, autre) apprenant une fuite de données depuis son SI a l’obligation de déclarer cette fuite aux autorités et, le cas échéant, de prévenir les personnes INPactées, c’est essentiel pour que ces personnes soient au courant, redoublent de vigilance et prennent si besoin les mesures qu’elles jugeront adéquates (ou pourront mettre en œuvre).
Or il semble qu’ici ce n’ait pas été fait.
–> la CNIL va obliger cet organisme à prévenir les victimes. Elle va aussi, normalement, enquêter sur la façon dont la fuite de données a pu se produire, sur les mesures de sécurité en place dans l’entreprise / administration (tout responsable de traitement de données personnelles et encore plus de données sensibles a une obligation de sécurisation et doit justifier qu’il a mis en œuvre les “bonnes pratiques conformes à l’état de l’art”).
Et éventuellement prendre des sanctions (je ne sais pas comment ça se passe si c’est une administration).
Et dans le cadre du RGPD, les sanctions peuvent être très, très élevées (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial, le montant retenu étant le plus élevé des deux, en cas de mauvaise foi avérée).
Je pense que plus que des mesures de blocage/filtrage/censure, ce sont surtout les sanctions financières, le shaming lié à ces sanctions, les sanctions en interne des entreprises/organismes, et la prise de conscience, par les citoyens, de l’ampleur des fuites de données (au fur et à mesure qu’ils recevront des notifications les concernant) qui aideront à faire progresser la sécurité informatique.
Ben quoi, on peut toujours rêver, non ?
Le 08/03/2021 à 13h27
Tout comme un mur empêche pas les voleurs mais protège des curieux. la CNIL a mis un mur entre le web français et le fichier. Ça empochera pas à quelqu’un d’y accéder mais ça évitera a Mme Michu d’aller voir si sa voisine a bien un cancer.
Le 06/03/2021 à 09h17
Et au fait :
pour le sous-titre, j’adore !