C’est le site internet Zataz, spécialisé en cybersécurité, qui a donné l’alerte : les données médicales confidentielles de près de 500.000 personnes en France sont visibles sur Internet depuis plusieurs jours.
Et si vous en faisiez partie ? Les données médicales personnelles de près de 500 000 français sont visibles librement sur internet depuis plusieurs jours : noms, numéros de Sécurité sociale, numéros de téléphone, état de santé, groupe sanguin, mais aussi traitements médicamenteux ou de pathologies (« tumeur au cerveau », « séropositif HIV »…). Des informations volées à une trentaine de laboratoires de biologie médicale, situés pour l’essentiel dans le quart nord-ouest de la France.
Selon le journaliste et animateur du blog Zataz Damien Bancal, la mise en ligne publiquement de ce précieux fichier pourrait avoir eu lieu après une dispute entre différents pirates informatiques qui cherchaient le meilleur moyen de rentabiliser cette trouvaille. Interrogé au micro de France Info, Damien Bancal explique ainsi « J’ai cru comprendre qu’ils voulaient commercialiser le contenu, mais qu’il y a eu des bisbilles entre eux et que par vengeance (l’un d’entre eux) l’a distribué gratuitement d’abord sur un espace privatif aux alentours du 10 février […] et puis le 14, ce genre de données est passé de main en main et les pirates […] ont commencé à les diffuser dans leurs petits cercles restreints. À la fin, ça se transforme en avalanche et ça se retrouve partout. Il y a deux jours, cette fameuse base de données est arrivée sur le web ».
La CNIL, le gendarme de la protection des données personnelles, a lancé des investigations, estimant que l’affaire pourrait être « une gravité particulière au regard du nombre de victimes et de la sensibilité des informations médicales diffusées », selon Louis Dutheillet de Lamothe, secrétaire général de la Commission nationale informatique et Libertés. La facture pourrait être salée pour les laboratoires qui n’ont pas su protéger les données médicales de leurs patients (qu’ils doivent désormais tous prévenir individuellement) : Le RGPD prévoit pour ce type d’incidents des sanctions pouvant atteindre 4 % du chiffre d’affaires.