Protection des données de santé, quelle démarche effectuer lorsque vos données personnelles ont été piratées ?

La presse a révélé, le 23 février 2021, que les informations confidentielles de près de 500 000 patients français ont été dérobées à des laboratoires de biologie médicale. Ces données regroupées dans un fichier ont préalablement circulé dans des cercles privés de pirates informatiques avant d’être diffusées sur des espaces web publics tels que des forums.

Selon les différentes informations parues, ce fichier comporterait, entre autres, les nom, adresse, téléphone, adresse email, date de naissance, numéro de Sécurité sociale, assurance ou mutuelle et mots de passe d’un demi-million de personnes.

Ces mots de passe (pour accéder aux analyses médicales) semblent choisis par les utilisateurs (et non générés aléatoirement par les laboratoires) : ils peuvent donc potentiellement être utilisés pour avoir accès à d’autres services, comme leur boîte mail, s’ils utilisent le même.

Les personnes piratées sont des cibles de choix pour du phishing personnalisé (envoi de faux messages ou de faux documents pour récupérer des informations personnelles ou de l’argent). Mais ils peuvent aussi, par exemple, faire l’objet de tentative d’usurpation d’identité de numéro de Sécurité sociale.

Aussi, Henner, soucieux de préserver vos intérêts, tenait à vous conseiller d’être particulièrement vigilants et vous invite à prendre connaissance des préconisations de la CNIL (Commission nationale de l’informatique et des libertés) du 1er mars 2021 ci-après détaillés qui pourront vous y aider.

Comment savoir si cette violation de données vous concerne ?

Lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes victimes d’une cyberattaque ont l’obligation d’informer directement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.

Cela peut être le cas si, comme la presse l’a annoncé, des données de santé particulièrement sensibles ont été divulguées et en nombre important.

Si cette violation vous concerne, l’organisme responsable doit vous en informer dans les meilleurs délais. Tous les laboratoires de biologie médicale ont notifié la CNIL et ont indiqué qu’ils allaient informer les personnes concernées. La CNIL s’assurera que cette information soit faite dans les plus brefs délais.

Henner vous précise toutefois que La CNIL n’est pas en mesure de vous informer de la présence de vos données dans ce fichier.

Attention : certains sites web indiquent détenir le fichier de données et pouvoir vous dire si vous êtes ou non concerné(e). La CNIL déconseille de les consulter.

Que pouvez-vous faire si vous êtes concerné(e) par cette violation de données ?

Les principaux risques sont l’hameçonnage (phishing) ou l’usurpation d’identité :

L’hameçonnage consiste à vous envoyer un courriel ou SMS frauduleux qui vous paraîtra réaliste du fait de l’utilisation des données récupérées grâce à la fuite de données (un soi-disant courriel de votre médecin ou de la sécurité sociale par exemple). N’y répondez pas, n’ouvrez surtout pas les pièces jointes, ne consultez pas les liens et supprimez le message immédiatement.

Si vous pensez être victime d’une usurpation d’identité à la suite de la divulgation d’informations vous concernant, vous pouvez :

  • Vous rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour vous prémunir d’usurpation.
  • Déposer plainte au plus vite auprès d’un commissariat de police ou de la gendarmerie.

Si l’usurpation est confirmée, demandez auprès des services de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à votre nom par l’escroc.

Que faire si votre mot de passe est présent dans cette fuite de données ?

Des mots de passe peuvent également être présents dans cette fuite de données. Si vous êtes concerné(e), l’organisme devra vous en informer.
Afin de limiter les risques, et sans attendre cette information de l’organisme, vous pouvez adopter quelques gestes simples :

  • Changez vos mots de passe des services web que vous utilisez habituellement :
    • En privilégiant des mots de passe forts*
    • En priorisant les services les plus importants (courriel, impôts, banques, sites de commerce en ligne, etc.).
  • Évitez d’utiliser d’un même mot de passe pour différents services ;
  • Utilisez des authentifications à multi facteurs quand elles vous sont proposées par des services de confiance (par exemple l’envoi d’un SMS à usage unique sur votre téléphone pour valider une connexion).

*Pour vous aider à bien choisir votre mot de passe, Henner vous recommande de consulter les règles à connaitre sur https://www.ssi.gouv.fr/guide/mot-de-passe/