Le 15 septembre dernier, l’Assistance publique – Hôpitaux de Paris (AP-HP) a porté plainte auprès du Procureur de la République de Paris après avoir constaté le vol de fichiers contenant des données personnelles à la suite d’une attaque informatique survenue au cours de l’été.
Cette attaque a porté sur un système sécurisé de partage de fichiers utilisé par l’AP-HP de manière ponctuelle en 2020, en complément du système d’information national de dépistage (SI-DEP), et permettant de transmettre des données issues de laboratoires de biologie médicale à la Caisse nationale de l’assurance maladie et aux agences régionales de santé dans le cadre du suivi des cas de contamination relatifs à l’épidémie de Covid-19. Elle aurait notamment été rendue possible par l’exploitation d’une faille de sécurité du logiciel utilisé par l’AP-HP à cette fin.
Les données qui ont fait l’objet de cette attaque informatique concernent environ 1,4 million de personnes ayant réalisé des tests (PCR et sérologies Covid-19) mi-2020, principalement en île de France. Elles incluent l’identité, le numéro de sécurité sociale et les coordonnées de ces personnes, les caractéristiques et résultats du test réalisé ainsi que les coordonnées des professionnels de santé ayant pris ces personnes en charge. Il s’agit donc de données personnelles incluant des données concernant la santé, considérées comme sensibles et strictement encadrées par le Règlement général sur la protection des données (« RGPD »).
L’AP-HP a notifié la violation de données personnelles à la Commission nationale de l’informatique et des libertés (« CNIL »), laquelle a ouvert une enquête à ce sujet. Elle a également informé les personnes concernées par le vol de données et leur a présenté ses excuses.
Le 8 octobre dernier, un étudiant en informatique a été mis en examen et placé sous contrôle judiciaire, après avoir notamment revendiqué son geste sur son compte Twitter. Ses motivations mêleraient à la fois convictions politiques (il se dit opposé au pass sanitaire) et le souhait de démontrer la faiblesse du système informatique de l’AP-HP.
L’accusé est poursuivi des chefs de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal), de divulgation illégale volontaire de données à caractère personnel (article 226-22 du code pénal), d’accès et maintien frauduleux dans un système de traitement automatisé de données mis en œuvre par l’Etat (article 323-1 du code pénal) et d’extraction de données dans un système de traitement automatisé de données mis en œuvre par l’Etat (article 323-3 du code pénal). Pour ce dernier chef d’accusation, il encourt jusqu’à 7 ans d’emprisonnement et 300 000 € d’amende.
Les personnes concernées par l’attaque informatique devront rester vigilantes en raison de risques de tentatives d’hameçonnage ou d’usurpation d’identité à l’aide des données extraites.