La Cnil annonce qu’elle a été notifiée par tous les laboratoires concernés par la fuite massive de données de santé dévoilée la semaine dernière. « Les laboratoires ont indiqué qu’ils allaient informer les personnes concernées. La Cnil s’assurera que ce soit fait dans les plus brefs délais » communique l’autorité, le 1er mars.
La suite des opérations dépend des laboratoires
Pour le reste, la Cnil donne un peu l’impression d’abandonner les particuliers face aux ennuis, délivrant en outre les informations au compte goutte et avec retard. La Cnil ne communique pas par exemple les informations qui ont été rendues publiques dès le 26 février par l’éditeur de logiciels Dedalus France qui équipe les laboratoires d’analyse et qui confirme investiguer sur un grave acte de cybercriminalité.
Dedalus France indique avoir identifié et prévenu les laboratoires concernés. Cet acte de cybercriminalité a conduit à la violation de données de certains des laboratoires qui utilisent son logiciel. L’enquête interne ouverte le mardi 23 février soir a permis à Dedalus France d’identifier les 28 laboratoires concernés. Ces laboratoires sont répartis dans 6 départements, situés plutôt dans le nord ouest de la France, les 22, 27, 35, 41, 45 et 56. Dedalus France indique avoir informé tous ces laboratoires. Dedalus France poursuit ses investigations et affirme coopérer avec les autorités afin de déterminer les sources de cette cyberattaque.
Charge aux 28 laboratoires de prévenir les particuliers
La Cnil pour sa part fait reposer la responsabilité de la suite des opérations sur les laboratoires et sur les particuliers qui vont devoir vérifier s’ils sont concernés par les conséquences de la fuite de données et naviguer dans les arcanes des procédures de sécurité informatique et juridiques.
« Si cette violation vous concerne, l’organisme responsable doit vous en informer dans les meilleurs délais » statue la Cnil. Elle indique qu’elle n’est pas en mesure d’informer les particuliers de la présence de leurs données dans le fichier de près de 500 000 personnes qui a été dévoilé sur internet. Elle recommande toutefois à juste titre de ne pas faire confiance à certains sites Web qui déclarent détenir les données et pouvoir dire si l’on est concerné ou pas . « La Cnil déconseille d’utiliser ces sites web » insiste-t-elle.
La Cnil recommande aux particuliers d’être vigilants face aux risques d’hameçonnage ou d’usurpation d’identité. L’hameçonnage consistera pour un escroc à envoyer un email ou un SMS qui paraîtra réaliste du fait de l’utilisation des données récupérées grâce à la fuite de données. Le message pourra faire référence au médecin ou à la sécurité sociale, par exemple. « N’ouvrez surtout pas les pièces jointes, n’y répondez pas, ne consultez pas les liens et supprimez le message immédiatement » demande la Cnil.
Déposer plainte au plus vite si l’on est concerné
La Cnil recommande à une personne qui pense être la victime d’une usurpation d’identité à la suite de la divulgation d’informations de la semaine dernière de se rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils afin de se prémunir contre une usurpation d’identité et de déposer plainte au plus vite auprès d’un commissariat de police ou d’une gendarmerie.
Dans le cas où l’usurpation d’identité est confirmée, il s’agira de demander auprès des services de la Cnil une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes bancaires ont été ouverts par l’escroc au nom du particulier. Dans tous les cas, la Cnil souligne qu’elle n’est pas compétente pour accorder une indemnisation aux personnes ayant subi un préjudice. Elle conseille de saisir les tribunaux civils qui statueront sur l’existence et l’évaluation d’un préjudice pouvant mener à indemnisation.
