Un fichier contenant des nombreuses données, y compris sensibles, de près de 750 000 patients aurait été mis en vente sur un forum de pirate, l’occasion de revenir sur les obligations des différents acteurs en matière de violations de données.
Mardi 19 novembre 2024, les données de près de 750 000 personnes auraient été mises en vente après avoir été semble-t-il dérobées auprès d’un hôpital français. Les données concernées comprendraient les noms, prénoms, numéros de téléphone, prescriptions, liste de médecins traitants. Les données ont été indiquées comme ayant été dérobées d’un logiciel permettant de gérer les dossiers patients informatisés, Mediboard.
La société Softway Medical, déployant ledit logiciel, a néanmoins indiqué au media Clubic que l’attaque se résumerait en « une usurpation d’un compte à privilèges, au sein de l’infrastructure du client, par une personne qui a utilisé les fonctions standards de la solution »[1].
Pour rappel, une violation de données est définie par le Règlement général sur la protection des données (ci-après « RGPD ») est définie comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »
Lorsqu’une violation de données présente des risques pour les droits et libertés des personnes concernées, le responsable de traitement (a priori, au cas présent, l’hôpital) doit procéder à une notification auprès de la Commission Nationale de l’Informatique et des Libertés dans un délai de 72 heures au plus tard après avoir pris connaissance de la violation (article 33 du RGPD).
Si la violation de données peut présenter des risques élevés pour les personnes concernées, le responsable de traitement doit également communiquer auprès des personnes physiques s’agissant de la violation (article 34 du RGPD).
Le défaut de respect de ces dispositions est susceptible d’entraîner la condamnation par la CNIL à une amende pouvant aller jusqu’à 10 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Par ailleurs, le fait de ne pas procéder à la notification d’une violation de données à la CNIL ou la communication auprès de l’intéressé est punissable d’une peine de cinq ans d’emprisonnement et 300.000 euros d’amende, le montant de l’amende étant quintuplé pour les personnes morales article 226-17-1 du Code pénal).
Certaines violations peuvent par ailleurs survenir, ou a minima être constatées, par le sous-traitant. En pareille hypothèse, le sous-traitant doit notifier au responsable du traitement la violation de données dans les meilleurs délais après en avoir pris connaissance. D’ailleurs, le contrat entre le responsable de traitement et le sous-traitant doit reprendre, au titre des clauses obligatoires, la mention que le sous-traitant a un devoir d’assistance du responsable de traitement dans la mise en œuvre, notamment, de ses obligations de notification auprès de la CNIL et de communication à destination des personnes concernées. Les responsables de traitement peuvent donc légitimement attendre une assistance de la part de leurs partenaires, le cas échéant concernés, dans le cadre de la gestion de la crise.
S’agissant de l’évènement portant sur le logiciel patient Mediboard, des investigations sont toujours en cours afin de comprendre les causes et l’origine de la violation de données.
Quoi qu’il en soit, les violations de données doivent être, au regard des implications pour les personnes concernées et des sanctions potentielles, rigoureusement appréhendées par les différents organismes.
Le cabinet se tient à votre disposition tant pour vous accompagner dans la mise en place de procédures internes de gestion des violations de données et de formation de vos équipes que pour vous assister et vous conseiller dans le cadre de la gestion de vos incidents de sécurité.
[1] https://www.clubic.com/actualite-544139-fichiers-et-dossiers-patients-sensibles-francais-en-fuite-sur-le-dark-web-que-se-passe-t-il.html