Fuite de données médicales affectant 750 000 personnes : rappel des obligations en cas de violation des données

Publié par le dans | Consulté 19 Fois

par Jessim BENSEDDIK, étudiant du Master 2 Droit des communications électroniques

La récente fuite de données médicales le 19 novembre 2024 concernant près de 750 000 patients en France, et mises en vente sur un forum de pirates, met une nouvelle fois en lumière les enjeux cruciaux de la protection des données personnelles. 

À travers l’attaque impliquant le logiciel Mediboard, cet incident illustre non seulement les risques accrus liés aux données sensibles, mais aussi les obligations légales strictes imposées par le RGPD aux responsables de traitement et à leurs sous-traitants. La protection des donnés personnelles est aujourd’hui un enjeu crucial dans notre société actuelle, car les fuites et piratages de données se multiplient. Les différents acteurs sensibles à cette protection devront se montrer de plus en plus responsables.

I. La qualification juridique de la violation de données personnelles

Pour rappel, c’est en date du mardi 19 novembre 2024 qu’un fichier contenant des nombreuses données personnelles médicales sensibles, concernant 750 000 patients, aurait été mis en vente sur un forum illégal de pirates après avoir été dérobé informatiquement. Cette actualité est particulièrement intéressante tant elle nous permet de revenir sur les obligations de certains acteurs concernés en matière de violations de données.

En effet, les données visées comprenaient un nombre important d’informations personnelles de patients (noms, prénoms, numéros de téléphone, prescriptions, liste de médecins traitants, numéros de sécurité sociale). 

La société qui gérait la base de données, en l’espèce Softway Medical, a indiqué que l’attaque se résumait en une simple usurpation d’un compte dit « privilège » qui regroupait l’ensemble des données ciblées.

Pour rappel, une violation de données est définie par le Règlement Général sur la Protection des Données à l’article 4.12) comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (…) « Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles ». 

Dès lors, la violation des données à caractère personnel permet de mettre en lumière les obligations rattachées à certains acteurs, comme le responsable de traitement à qui incombe une responsabilité juridique et une prise en charge immédiate du problème. 

Ainsi et toujours selon le RGPD, lorsqu’une violation de données peut présenter un risque pour les droits et libertés des personnes concernées par la violation, le responsable de traitement, en l’espèce l’hôpital, doit procéder à la notification auprès de la Commission Nationale de l’Informatique et des Libertés dans un délai de 72 heures au plus tard après avoir pris connaissance de la violation des données personnelles en vertu de l’article 33 du RGPD, qui précisera « la nature de la violation, les conséquences probable de la violation, les coordonnées du DPO ou encore les mesures prises pour remédier à la violation ».

En outre, si cette violation de données peut présenter un risque pour les personnes concernées, le responsable de traitement doit également communiquer les circonstances de la violation de données auprès des personnes physiques concernées, en vertu de l’article 34 du RGPD.

En effet, à l’heure où les activités numériques et le développement des intelligences artificielles se développent à une vitesse exponentielle, le droit doit continuer de responsabiliser les différents acteurs ayant un rôle et une proximité forte dans la gestion des données à caractère personnel. 

Ces épisodes de fuite de données ne sont pas nouveaux, récemment les sociétés SFR, Free et Orange ont subi une attaque informatique impliquant la fuite de leurs données clients le 25 novembre 2024 (RIB, noms, prénoms). Notons également la tentative d’une attaque informatique au sein de la Banque de France, autant d’exemples qui soulignent l’enjeu plus que crucial autour de la protection des données personnelles. 

II. Les implications et enjeux liés à la gestion des violations de données.

Responsabiliser les différents acteurs implique par ailleurs de sanctionner le non respect des dispositions applicables liées à la violation des données personnelles. 

Ainsi, le défaut de respect de ces dispositions pourrait entraîner une condamnation par la CNIL à une sanction financière pouvant chiffrer jusqu’à 10 millions d’euros, ou, dans le cas d’une société, jusqu’à 2 % de son chiffre d’affaires annuel mondial total en vertu du RGPD.

En plus du RGPD, le code pénal incrimine le fait de ne pas « procéder à la notification d’une violation de données à la CNIL ou à communiquer auprès de l’intéressé » par une peine de 5 ans d’emprisonnement et 300000 euros d’amende en vertu de l’article 226-17-1 du code pénal. 

Cette actualité permet d’illustrer d’autant plus l’enjeu de la protection des droits fondamentaux, la fuite de données médicales sensibles exposant les personnes concernées à plusieurs types de risques particuliers, menaçant leurs droits à la vie privée, à la sécurité et à la non-discrimination. En effet, la confidentialité des informations médicales est un élément essentiel du droit à la vie privée (principe garanti par l’article 8 de la Convention européenne des droits de l’homme (CEDH).

Par conséquent, on constate qu’aujourd’hui tous les acteurs en lien avec cette gestion des données semblent donc concernés par leur protection, tous les organismes, publics comme privés quelle que soit leur taille, sont soumis aux obligations du RGPD dès lors qu’ils traitent des données personnelles et qu’ils ont connaissance d’une violation de données personnelles. 

Dès lors, elles ne sont plus réservées aux fournisseurs de services de communication électronique.

Rappelons à ce titre et en vertu des articles 33 et 34 du RGPD que l’obligation de notifier une violation de données dépend du risque qu’elle représente pour les droits des personnes concernées .Si aucun risque n’est identifié, le responsable doit documenter la violation sans en informer la CNIL ni les personnes concernées.

De plus, si la violation présente un risque pour les droits des personnes concernées, le responsable doit la documenter et la notifier à la CNIL dans un délai de 72h. 

Autrement, si la violation présente un risque élevé pour les droits des personnes concernées, le responsable doit la documenter, la notifier à la CNIL dans les 72h et informer les personnes concernées dès que possible.

En conclusion, cet épisode du 25 novembre concernant la violation des données médicales de la société Softway Médical nous démontre une fois de plus l’enjeu crucial et toujours plus important de la protection des données à caractère personnel. Il semble nécessaire aujourd’hui de responsabiliser toujours plus les acteurs et d’essayer d’établir une réglementation toujours plus forte pour contrer et prévenir ces épisodes de violations des données à caractère personnel.

Sources :

  • Règlement Général sur la Protection des Données à caractère personnel
  • CNIL