Les violations de données personnelles gagnent en ampleur et les entreprises ne sont, la plupart du temps, pas suffisamment préparées aux piratages.
En 2020, la CNIL faisait état d’une hausse de 24% des notifications de violation de données. Le secteur de la santé serait une cible privilégiée, la CNIL dénombrant également pour 2020 une multiplication par trois des violations liées à des attaques par cryptolockers sur des établissements de santé (centre hospitalier, clinique, EPHAD, maison de santé, laboratoires…) avec 36 violations avérées.
A la mi-septembre, l’AP-HP confirmait le piratage informatique des données personnelles de 1,4 million de patients comprenant les nom et prénoms ; date de naissance ; le sexe ; le numéro de sécurité sociale ; l’adresse postale, électronique ou le numéro de téléphone ; les caractéristiques du test Covid utilisé ; le résultat du test Covid des patients.
Toute entreprise faisant l’objet d’une violation confirmée de ses données personnelles à pour obligation d’en informer la CNIL ainsi que les personnes concernées par la fuite de leurs données personnelles.
Du coté des personnes concernées, il est important de comprendre les risques liés à ce type de violation et de s’informer sur les moyens de les limiter.
Les principaux risques liés à une fuite de données personnelles
Les principaux risques liés à une violation de données de santé du type de celle dont à fait l’objet l’AP-HP sont :
- l’hameçonnage ou phishing, c’est-à-dire l’envoi d’un courriel ou d’un SMS frauduleux afin de tenter de récupérer vos coordonnées bancaires. Ce message, quelque soit sa forme, pourrait contenir un grand nombre de vos données piratées de sorte qu’il vous semble assez réaliste pour que vous y répondiez. Il convient donc d’être particulièrement vigilant à certains éléments tel que l’adresse d’envoi de l’email ou l’objet du SMS.
Recommandations : En cas de doute, ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes. Ne répondez pas non plus à ce message et supprimez-le immédiatement. Si votre mot de passe est indiqué par le responsable de traitement comme faisant partie des possibles données ayant été piratées, changer immédiatement votre mot de passe et tous les comptes où ce même mot de passe aurait pu être utilisé. - l’usurpation d’identité : l’usurpation d’identité correspond à l’utilisation, non autorisée, d’informations personnelles permettant de vous identifier telles que vos noms, prénoms, date de naissance, adresse postale ou email, numéro de sécurité social, etc. Vos données personnelles peuvent être utilisées pour créer, à votre insu, des comptes bancaires, souscrire à des prêts ou des abonnements ou pour soumettre des actes susceptibles de nuire à votre image ou à votre réputation.
Recommandations : En cas d’usurpation d’identité avérée, il conviendra de déposer une plainte auprès des services de la police ou de la gendarmerie ou d’adresser une plainte écrite au procureur de la République du tribunal judiciaire dont vous dépendez. Vous pouvez également demander à la CNIL de consulter le ficher des comptes bancaires ayant été ouverts avec vos noms, prénoms et autres données personnelles Fichier des comptes bancaires (Ficoba) | service-public.fr
Le site Assistance aux victimes de cybermalveillance est aussi source d’informations intéressantes en cas de violation avéré de données personnelles.
Dans le cas de la violation des données de l’AP-HP une page dédiée a été mise en place pour informer les 1,4 millions de personnes concernées par la fuite de leurs données Violation de données personnelles médicales de l’AP-HP – Assistance aux victimes de cybermalveillance.