Guide juridique

🕑 4 minutes

Vol des données de l’APHP : Que faire ?

Contexte et contenus

681694 vol de donnees de l ap hp la prefecture met en ligne un formulaire
L’assistance publique des hopitaux de paris, victime d’une cyberattaque

Début septembre, l’APHP-Hopitaux de Paris a été victime d’un piratage informatique aboutissant au vol de plus d’1,4 millions de données de personnes en lien avec le dépistage Covid

Sont en cause des données personnelles particulièrement sensibles puisqu’associées au domaine de la santé : les nom, prénoms, date de naissance, sexe, numéro de sécurité sociale, information de contact, adresse postale, électronique ou numéro de téléphone, caractéristiques et résultat du test utilisé. 

Il est toutefois précisé qu’aucune autre information médicale n’est présente dans ces listings. Les fichiers dérobés portent presque exclusivement sur des tests réalisés mi-2020 en ile de France. Les enjeux et implications au regard des données de santé demeurent toutefois extrèmement sérieuses.

Contexte : vol de données médicales liées au Covid

La base de données a été subtilisée à partir d’une plateforme de téléchargement hébergée en Nouvelle-Zélande dont l’accès a été coupé le 14 septembre, deux jours après la découverte de l’intrusion. 

D’après l’APHP, « pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’Å“uvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait des difficultés techniques dans ses outils de transmission ».

Utilisation des données de santé et risques pour les victimes

Les informations personnelles associées au compte piraté peuvent aujourd’hui ètre diffusées vendues seules ou en groupe sur internet notamment le darkweb. 

Ces informations peuvent également donner lieu à des tentatives d’escroqueries ou usurpations d’identité pour la souscription de prèts ou abonnements contractés. À titre d’exemple, le numéro de sécurité social donne accès à la plateforme FranceConnect qui centralise plus de 800 démarches civiles comme les impôts, la caisse d’allocation familiales ou le site de l’Assurance Maladie. 

Enfin, des tentatives d’hameçonnage (phishing) consistant à envoyer aux personnes un courriel ou sms frauduleux seront sans doute exploitées. Toute prise de contact faisant état des données personnelles ci-dessus citées – correspondance émanant par exemples de laboratoires pharmaceutiques, d’hôpitaux, médecins, professionnels de santé et institutions étatiques publiques – peut constituer une tentative de piratage de vos données et matériel informatique.

Piratage informatique : Actions et mesures

Tenu d’une obligation d’information directe des personnes concernées, l’APHP vous aura notifié la violation de leurs systèmes d’information. Il est à noter que plusieurs sites internet indiquent détenir les données en cause et pouvoir indiquer les personnes concernées. 

Les institutions publiques déconseillent fortement ces plateformes qui pour certaines ont vocation à détourner vos informations à des fins personnelles.

Mesures techniques : en cas de cyberattaque, l’ensemble des professionnels du secteur recommandent par mesure de précaution la modification sans délai des mots de passe des utilisateurs visés sur les différentes plateformes. 

Dans le but de sécuriser leur compte, la diversification des mots de passe, l’intégration de validation en deux étapes via courriel ou texto sont encouragés. 

Plusieurs guides pratiques et informations sont régulièrement mis à jour sur les moyens de protection informatique existants, la sécurité des mots de passe, etc. 

Vigilance prolongée. Il est courant que l’exploitation de données subtilisées soit réalisée dans un temps ultérieur conséquent afin d’affaiblir la vigilance des victimes. Les pouvoirs publics recommandent sur ce point aux victimes de rester alertes sur les mouvements de leurs comptes. Il vous est possible de vérifier via des sites étatiques tel la banque de France ou la CNIL l’ouverture de nouveaux comptes à votre nom. 

En cas de découverte de publication non autorisée de vos données personnelles, d’utilisation frauduleuse de ces données ou de tentative d’escroquerie, il importe de conserver l’ensemble des preuves de ces agissements notamment via des captures d’écran. 

Si des comptes de réseaux sociaux sont impactés, il est vivement recommandé de signer directement les pages, comptes et messages litigieux auprès des modérations des plateformes. 

Plainte et action collective: Protection des victimes

Le droit français ne reconnaissant pas les actions collectives, les victimes du vol de données de l’APHP peuvent porter plainte individuellement, faisant valoir les préjudices subis – patrimoniaux et moraux du fait de cette violation. La constitution d’associations de victimes, la mobilisation de la CNIL en la matière faciliteront une fois l’identité des responsables civiles et pénales leur condamnation aux indemnisations pertinentes. 

Déjà saisie la Brigade de Lutte Contre la Cyberriminalité du Parquet de Paris, les infractions envisagées portent sur l’accès et maintien dans un Système de Traitement Automatisé de Données (STAD), extraction frauduleuse de données d’un STAD et collecte frauduleuse de données à caractère personnel. 

Le gouvernement a mis à disposition des victimes un formulaire de plainte transmissible en ligne via l’adresse plainte-befti@interieur.gouv.fr

Il importe toutefois de signaler que le dépôt de plainte en l’absence de préjudice identifié apparaît difficile, une main courante constituant indubitablement un premier élément de procédure.

Écrit par :

Publié le : 28/07/2023
Mis à jour le : 20/12/2023

PX Chomiac de Sas