Données médicales piratées : la justice ordonne le blocage d’un site

Publié le 8 Mar, 2021

La justice ordonne le blocage d’un site publiant des données médicales piratées

La semaine dernière, presque 500.000  dossiers médicaux ont été divulgués suite à une faille de sécurité informatique de laboratoires d’analyses médicales (cf. Les données de santé de près de 500 000 patients français diffusées sur internet). Saisi en référé par la CNIL (cf. Vol de données de santé : la Cnil lance une investigation), le tribunal judiciaire a ordonné aux quatre grands FAI[1], Orange, SFR, Bouygues Telecom et Free, le blocage immédiat d’un site publiant sur internet les données incriminées.

Ce fichier compromettant est apparu en ligne pour la première fois au mois de février, « suite à un désaccord entre le vendeur du fichier et un de ses acheteurs ». Le lien direct vers le fichier litigieux était accessible depuis un forum de discussion, « mis à disposition librement ». Le nom de domaine avait été enregistré récemment, en juillet 2020, avec une extension correspondant à l’ile de Guernesey (.gg). Il est distribué par l’accélérateur de contenus américain Cloudflare, « qui a laissé sans réponse les demandes de la Cnil ».

Le tribunal a considéré que la publication de ce fichier constituait « une atteinte grave et immédiate aux droits des personnes concernées, notamment le droit au respect de la vie privée ». En l’absence de réponse de Cloudfare, et face à l’impossibilité de bloquer le seul lien direct, le juge a ordonné le blocage de la totalité du site « sans délai et pour une durée limitée de 18 mois ». De son côté, Cédric O a fait savoir que l’Anssi « enquêtait depuis novembre » sur cette fuite de données, « bien avant que celles-ci soient diffusées sur le web en accès libre ».

L’enquête judiciaire, confiée à la section cybercriminalité du parquet de Paris, est « loin d’être résolue ». Les autorités doivent se pencher sur la responsabilité de l’entreprise Dedalus France, qui fournit aux laboratoires victimes le logiciel de gestion Mega-Bus. Elles doivent évaluer une éventuelle « négligence dans la protection des données de santé de leurs patients ».

 

Sources : Huffington Post (05/03/2021) – ZD Net, Louis Adam (05/03/2021) – Usine Digitale, Alice Vitard (05/03/2021) ; Photo : Pixabay\DR

[1] Fournisseurs d’Accès à Internet

Partager cet article

Synthèses de presse

17_trisomie21
/ Diagnostic Prénatal

DPN : Un médecin accusé de “négligence” est acquitté

La mère a déclaré que s’ils avaient su que leur fille, née en 2011, était trisomique, elle aurait décidé d’avorter ...
Le Laos autorise la GPA et l’avortement
/ IVG-IMG, PMA-GPA

Le Laos autorise la GPA et l’avortement

Une nouvelle loi autorise la maternité de substitution et l’avortement, au Laos. Selon le ministère de la Santé, le nouveau ...
Carte d’identité en Argentine : H, F ou "X"
/ Genre

Carte d’identité en Argentine : H, F ou “X”

Il existe désormais 3 catégories possibles pour identifier le sexe du détenteur de documents d’identité : "masculin", "féminin", ou "X" ...

Textes officiels

Fiches Pratiques

Bibliographie

Lettres