Est-ce que je fais partie des victimes ? C’était la question que tout le monde se posait après que Libération a mis en lumière la publication d’une base de données volée de près de 500 000 patients français. Et cette question devrait bientôt avoir une réponse.

Le 1er mars, la Cnil, l’autorité française des données, a annoncé que les personnes mentionnées dans le fichier seront bientôt averties. « Tous les laboratoires ont notifié la CNIL et ont indiqué qu’ils allaient informer les personnes concernées. La CNIL s’assurera que ce soit fait dans les plus brefs délais », écrit-elle sur ses réseaux sociaux, dans un message d’accompagnement de son billet de blog.

labelscommunautaires-big.png

Pas d’autres choix que d’attendre l’email d’un des laboratoires pour les victimes. // Source : Louise Audry pour Numerama

Pour rappel, les données du fichier proviennent de 27 laboratoires d’analyses médicales différents. Au regard du règlement général sur la protection des données — le fameux RGPD –, chacun de ces laboratoires est responsable de traitement des données personnelles des patients puisqu’ils les ont manipulés. La Cnil avait déjà souligné leur devoir de la notifier de la fuite, au regard de la loi.

Cette fois, elle insiste sur la nécessité de communiquer auprès des personnes concernées par la fuite, comme prévu dans certains cas par le RGPD : « Lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer directement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne. » La fuite rentre bien dans ce cas de figure, puisqu’elle contient les numéros de sécurité sociale de plus de 490 000 personnes, et qu’il s’agit d’une donnée particulièrement sensible.

Pas d’autres choix que d’attendre un email

À ce stade de l’enquête sur l’incident, les autorités soupçonnent l’éditeur d’un logiciel de saisie de données médicales d’être la source de la fuite. Une ou plusieurs vulnérabilités de l’outil auraient permis aux hackers d’intercepter les données des patients de différents laboratoires clients de l’éditeur. Ils n’avaient plus qu’à les réunir dans un fichier qu’ils ont mis à la vente dans un premier temps, puis publié gratuitement dans un second. Bien que les laboratoires ne soient peut-être pas à l’origine de la fuite à proprement parler, ils ont tout de même le devoir d’avertir les victimes en temps que responsable de traitement.

Ce système de notification a un écueil : les personnes qui ne sont pas concernées par la fuite ne recevront pas de message pour leur confirmer leur absence de la base. Difficile donc de distinguer l’attente de la notification d’une simple absence de la base. Comme nous vous l’expliquions, la base de données volées circule largement à la fois dans les sphères des cybercriminels, mais aussi dans tout le monde de la cybersécurité. Certaines personnes ont pris l’initiative de créer un outil qui permet à chacun de savoir si oui ou non il figure dans la base — sans indiquer le détail des données présentes dans le fichier. Ces initiatives, bien que bienveillantes, flirtent avec les limites du droit. Dans son communiqué, la Cnil déconseille donc  à nouveau de les utiliser. Elle rappelle également qu’elle-même « n’est pas en mesure de vous informer de la présence de vos données dans ce fichier. »

Autrement dit, les victimes de la fuite n’ont d’autre choix que d’attendre un email de notification d’un des laboratoires. Charge donc à ces derniers d’avertir de façon exhaustive tous leurs clients concernés, notamment sur le type de données que la fuite contient. Pour les autres, il faudra considérer l’absence de réception d’email comme une preuve que vous n’êtes pas concernés.

une comparateur meilleur vpn numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !