La Cnil rappelle l’obligation de notifier toute fuite de données personnelles
Suite au piratage de données médicales, la Cnil annonce lancer une enquête. La commission en profite pour rappeler les gestionnaires de traitements à leurs obligations de sécurisation et de signalement de toute fuite de données.
L’affaire a fait grand bruit dans la presse. Pas moins de 490.000 profils de patients ont fuité sur internet selon le site spécialisé Zataz. Des données, a priori issues de laboratoires d’analyse médicale, comportant état civil, adresse, mail, téléphone, nom des médecins traitants, mutuelle et numéro de sécurité sociale qui se sont retrouvées en vente en l’espace de quelques minutes sur le "dark web". Quelques jours plus tard, le CERT – le centre d’alerte de l’Etat sur les cybermenaces - alertait de la fuite de 50.000 comptes utilisateurs "appartenant vraisemblablement à des agents de centres hospitaliers".
Allô la Cnil ?
Interpellé par un "allô la Cnil ?" par Zataz, la commission s’est fendue le 24 février 2021 d’un communiqué. La commission rappelle les gestionnaires de données à leurs obligations, à commencer par celle d’assurer la sécurité des données personnelles qu’ils traitent. En cas de vol de données, les organisations doivent notifier la Cnil "dans les 72 heures suivant le moment où elles en ont pris connaissance". En cas de données "susceptibles d’engendrer un risque élevé pour les droits et les libertés", ils ont par ailleurs l’obligation "d’informer individuellement les personnes concernées" de la compromission des données leur appartenant. Concernant la fuite de données de santé, la commission a annoncé le lancement d’une enquête susceptible d’entrainer des sanctions si des manquements sont constatés. Se défendant de tout attentisme face à l’explosion des incidents, la Cnil rappelle que les deux tiers des sanctions prononcées par la commission concernent des obligations de sécurité des données, 20 agents étant mobilisés sur ces questions. Des effectifs dont on peut se demander s’ils sauront faire face à la vague d’attaques observée ces derniers mois par l’Anssi (notre article).
Un lien avec les rançongiciels
On soulignera que les fuites de données sont à relier à l’épidémie actuelle de rançongiciels. En effet, comme le note l’Anssi, les cyberattaques par rançongiciels sont de plus en plus précédées d’un vol de données pouvant faire l’objet d’une seconde demande de rançon quelques mois après une première attaque. Ces données peuvent aussi être revendues et venir alimenter de nouvelles attaques. En accédant à l’ensemble des mails d’une organisation, les cybercriminels peuvent en effet rendre plus crédible leur "hameçonnage" et accroître la probabilité de générer un clic malencontreux.
Un volet santé et médico-social pour le plan cybersécurité
Le plan cybersécurité annoncé la semaine dernière (notre article) comporte un volet santé détaillé par le gouvernement le 22 février 2021. 350 millions d'euros sont affectés à la cybersécurité des établissements de santé et médico-sociaux dans le cadre du Ségur de la santé, auxquels s’ajoutent désormais 25 millions d'euros au titre du plan de relance. Les exigences de sécurité des 135 groupes hospitaliers vont par ailleurs être renforcées, ceux-ci venant rejoindre la liste des "opérateurs de services essentiels". La dimension sécurité des projets numériques des établissements de santé et médicaux-sociaux sera également davantage prise en compte, de même que la sensibilisation des personnels aux règles d’hygiène informatique.