Veille Juridique n°32 – Février 2021

Sécurité, fuite de données et rançongiciels : des attaques à prendre au sérieux. La presse s’est fait l’écho fin février d’une fuite massive de données dans le secteur médical.

Des informations sensibles concernant plus de 500 000 personnes, comprenant groupes sanguins et numéros de sécurité sociale, ont été revendues sur un forum spécialisé avant d’être publiées en libre accès sur internet.

Figurent également dans cette liste de données les identifiants et mots de passe qui permettaient à ces patients de se connecter aux centres médicaux et laboratoires d’analyse concernés par la fuite de données.

Une enquête judiciaire est en cours, et tant l’ANSSI que la CNIL se sont saisis du dossier.

La gravité de la fuite de données tient autant au nombre de personnes concernées qu’à la nature sensible de ces données.

L’occasion de faire le point sur les mesures à prendre pour réagir à de telles attaques, et surtout, en amont, pour s’en prémunir.

Plusieurs guides ont été publiés par la CNIL ainsi que par l’ANSSI et le Ministère de la justice afin d’aider les responsables de traitements à se prémunir de telles violations de sécurité, qu’il s’agisse de défaillance interne ou d’attaque par rançongiciel.

Les recommandations publiées notamment par la CNIL recensent les différentes étapes de la gestion de la sécurité des traitements de données.

En substance, il convient de :

• Recenser les traitements de données et leurs supports (matériels, logiciels, canaux de communication, supports papier) :

• Apprécier les risques engendrés par chaque traitement et identifier les impacts potentiels sur les droits et libertés des personnes concernées, en cas d’accès illégitime à des données, de modification non souhaitée de données, ou de disparition de données.

Lorsque des catégories particulières de données sont traitées, telles que des données de santé, l’impact d’une violation de données sur les personnes concernées est d’autant plus important.

Un tel traitement requiert dès lors une appréciation des risques approfondie.

• Identifier les sources de risques (sources humaines et sources non humaines).
• Analyser les menaces réalisables, c’est-à-dire les possibles événements déclencheurs (ex : vandalisme, dégradation du fait de l’usure naturelle, unité de stockage pleine, attaque par dénis de service).
• Recenser les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : sauvegardes, chiffrement). Les mesures doivent être proportionnées aux risques. Lorsque les données traitées sont sensibles, un niveau de sécurité particulièrement élevé doit être garanti. Le stockage de mots de passe en clair dans les fichiers du responsable est ainsi à proscrire : l’information doit être cryptée, et des mesures d’authentification fortes doivent être adoptées.
• Evaluer la gravité et la vraisemblance des risques, au regard des éléments précédents.

En cas de violation de données, des mesures adaptées doivent être prises immédiatement afin de mettre fin à la violation, et de limiter l’impact sur les personnes concernées.

Le responsable doit en outre procéder à une notification de la violation auprès de la CNIL, dans les 72 heures suivant le moment où il en a pris connaissance.

Il a également l’obligation d’en informer individuellement les personnes concernées lorsque la fuite de données est susceptible d’engendrer un risque élevé pour leurs droits et libertés.  C’est le cas lorsque des données sensibles sont concernées, telles que des données de santé.

Dans le cadre de la fuite massive de données survenue fin février, l’information des personnes concernées est ainsi requise.

Les dommages peuvent s’avérer d’une gravité extrême pour les patients dont la prise en charge médicale peut être affectée, mais aussi pour les responsables de traitement, dont la réputation et l’activité même sont en jeu.

La CNIL rappelle que le nombre de notifications de violation de données a connu un bond de 24% en 2020, et que le nombre de violations liées à des attaques par cryptolockers sur des établissements de santé (centre hospitalier, EPHAD, maison de santé, laboratoires etc) a été multiplié par trois en un an.

Par ailleurs, deux tiers des sanctions prononcées par la CNIL visent des manquements à l’obligation de sécurité des données, tendance qui se reflète dans toute l’Europe.

Et aussi

France :

L’application « tousanticovid » évolue, afin d’intégrer un système d’alerte des utilisateurs dans la perspective de la possible réouverture de salles de sports, restaurants ou salles de spectacle. 

La CNIL, saisie du projet de décret, a globalement émis une appréciation positive, tout en demandant que le dispositif d’enregistrement des visites ne soit obligatoire que pour les lieux présentant un risque élevé (mesures barrières difficiles à mettre en œuvre) et qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données sensibles (tels que les lieux de cultes)

Suite à la publication de ses lignes directrices sur l’utilisation des cookies en octobre dernier, la CNIL rappelle que le délai de mise en conformité arrive à échéance fin mars.

Elle a envoyé un courrier à deux cents organismes publics ainsi qu’aux principaux acteurs privés, soulignant notamment la nécessité de permettre à l’utilisateur d’accepter ou de refuser les cookies avec le même degré de simplicité (le bouton « paramétrer » souvent présent dans les bannières ne remplissant pas cette exigence).

Europe :

• Belgique : L’autorité de protection des données publie un guide détaillé sur les techniques de nettoyage de données et de destruction des supports de données, un réflexe trop souvent négligé lorsqu’on se débarrasse d’un outil informatique.

• Royaume-Uni : la Commission européenne publie un projet de décision qui considère le niveau de protection garanti par le Royaume-Uni aux traitements de données à caractère personnel comme équivalent à celui de l’Union européenne.

Si le Comité européen de protection des données et les représentants des Etats membres soutiennent cette évaluation, les transferts de données vers le Royaume-Uni pourront se poursuivre sans conditions supplémentaires.

Notons également que le Contrôleur européen de la protection des données a émis ce 22 février un avis dans lequel il rappelle que, étant un droit fondamental, la protection des données n’est pas négociable dans le cadre des accords commerciaux entre l’Union européenne et le Royaume-Uni.

• Europe – ePrivacy : Après quatre ans de négociations, les Etats membres de l’UE ont enfin adopté une position commune sur la protection des communications électroniques.

Le règlement ePrivacy devrait mettre à jour la directive actuelle en précisant, entre autres, les règles de confidentialité des communications, la protection des metadata, et les règles applicables aux cookies et autres traceurs.

Le texte doit encore être discuté au sein du Parlement européen, et sa version définitive entrera en vigueur deux ans après sa publication.

• Europe – passeport santé : La Commission européenne a annoncé ce premier mars préparer un projet de passeport commun aux Etats membres, qui permettrait de faciliter la circulation des personnes dans le contexte actuel de pandémie.

Ce passeport intégrerait des données personnelles sur la vaccination, l’immunité acquise ou les tests effectués par la personne concernée.

La Commission assure que des mesures seront prises afin de d’empêcher toute discrimination ou abus lié à la vie privée des personnes concernées.

International :

Etats-Unis : après la Californie, une dizaine d’Etats américains prépare une législation sur la protection des données à caractère personnel, dont l’Etat de New-York et celui de Washington.

De façon générale, ces lois prévoient des droits moins étendus en faveur des utilisateurs que le RGPD, et préfèrent lui octroyer le droit de s’opposer au traitement de ses données plutôt que de lui demander son consentement préalable.

Elles ont en tous les cas le mérite d’améliorer la transparence des traitements de données, et d’octroyer des voies de recours aux consommateurs américains.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.