Le 24 février, à la suite de la publication dans la presse de plusieurs articles concernant une fuite de données de santé massive, la CNIL rappelle aux responsables de traitement leurs obligations de sécurisation et de signalement en cas de violation. La Cnil annonce lancer une enquête.

En cas de vol de données, les organisations doivent notifier la Cnil dans les 72 heures suivant le moment où elles en ont pris connaissance. En cas de données « susceptibles d’engendrer un risque élevé pour les droits et les libertés« , ils ont l’obligation « d’informer individuellement les personnes concernées » de la compromission des données leur appartenant.

« La CNIL a été informée par les médias de la publication d’un fichier contenant des données médicales de près de 500 000 personnes. Elle procède actuellement à des contrôles pour constater officiellement la mise à disposition du fichier.

Les constatations préliminaires semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importante, et laissent à penser que les données proviendraient de laboratoires d’analyse médicale. Si ces éléments devaient être confirmés, il incombe aux organismes concernés qui ne l’auraient pas déjà fait, de procéder à une notification auprès de la CNIL, dans les 72 heures suivant le moment où ils en ont pris connaissance. En outre, lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne. Cela peut être le cas si, comme la presse s’en est fait l’écho, des données de santé particulièrement sensibles ont été divulguées et en nombre important.

Par ailleurs la CNIL rappelle que les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé.

En cas de manquement à ces obligations la CNIL pourrait engager des actions répressives, sans préjudice des actions que les autres autorités compétentes seraient susceptibles de mener. »Violation de données de santé : la CNIL rappelle les obligations des organismes à la suite d’une fuite de données massive annoncée dans les médias | CNIL

Mots-clefs : CNIL, communication, droits, santé, technos

Cet article a été publié le vendredi 5 mars 2021 à 14 h 31 min et est classé dans Le Rouge & le Vert Hebdo, Politique. Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0. Les commentaires et pings sont fermés.