Fuite de données aux hôpitaux de Paris : 1,4 million de victimes

Maître Alexandre Lazarègue organise  une action en justice collective contre les hôpitaux de Paris pour obtenir l’indemnisation financière des nombreuses victimes.

Du jamais vu en France ! L’intimité médicale de 1,4 millions de patients a été violée et livrée sur internet, en quelques secondes. C’est ce que révèle ce dimanche Alexandre LAZARÈGUE avocat au Barreau de Paris, et spécialisé en droit du numérique :1″,4 millions de personnes ont vu leur noms, prénoms, adresse, numéro de sécurité sociale, numéro de téléphone et courriels mis en ligne….” contre leur volonté.

Ce vol massif de données de santé sur les serveurs de l’APHP a été réalisé par un militant anti-vacc appréhendé. l’Assistance publique-Hôpitaux de Paris (AP-HP) a reconnu avoir fait l’objet d’une attaque informatique conduisant à la fuite de données de 1,4 millions de personnes résidant en Ile de France.

Le 8 octobre 2021, un jeune homme de 22 ans, militant anti-vaccin a été mis en examen pour s’être introduit dans les serveurs de l’AP-HP et avoir soustrait frauduleusement ces données.

Le Cabinet Lazarègue Avocats représente ce dimanche une vingtaine de victimes et organise une action collective pour défendre les droits des personnes dont les données ont été diffusées sur le net ce qui est susceptible de causer des préjudices importants pour chacune d’entre elles.

Comment l’intrusion a-t-elle été possible ? 

Le SI-DEP est un système d’information de dépistage centralisant les résultants d’examens biologiques de dépistage du Covid-19. Il centralise les résultats des tests PCR, tests antigéniques et les QR codes.

L’ensemble de ces données est hébergé sur des serveurs qui ont fait l’objet d’une intrusion frauduleuse par un militant anti-vaccin pour porter atteinte à la protection du QR Code. Ces données ont été ensuite communiquées par un partage de liens sur divers forums en ligne.

Les hôpitaux, détendeurs de données de santé sont astreints à une série de règles de cybersécurité particulièrement rigoureuses pour prévenir les risques de fuite de données. “A défaut du respect de ces exigences, leurs responsabilités pénales et civiles pourraient être engagées par les victimes”, précise Alexandre LAZARÈGUE, avocat et spécialiste en droit du numérique.

Que devait faire l’APHP ? 

Le règlement général relative aux données personnelles (RGPD) impose en cas de fuite de données d’alerter immédiatement la CNIL et si celle-ci est susceptible de troubler la vie privée d’individus d’informer les victimes dans un délai de 72 h afin que ces dernières puissent prendre les mesures préventives adéquates.

En outre, elle doit sur le plan technique tenter d’isoler les serveurs susceptibles d’avoir été attaqué et les confiner de manière à stopper la fuite de données. Elle doit également collecter les preuves à travers des moyens techniques et des témoignages.

Sur le plan pénal, elle peut déposer plainte pour alerter le procureur de la république des faits afin qu’il diligente une enquête pénale.

Que peuvent faire les victimes ? Les mesures préventives adéquates peuvent consister notamment à modifier leur mot de passe, faire preuve d’une vigilance accrue pour éviter les opérations de « phishing » (technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance) en se défiant des mails et des appels malveillants.

Pour Alexandre LAZARÈGUE, “Les victimes peuvent également porter plainte auprès du Procureur de la république et se constituer partie civile auprès du juge d’instruction.
Le cas échéant, elles pourront faire état du préjudice présent ou à venir et en demander réparation à tous les responsables….. Le Cabinet Lazarègue Avocats représente déjà une vingtaine de victimes qui vont désormais pouvoir se constituer parties civiles collectivement.”

Contacté par téléphone ce dimanche, le magistrat de permanence du parquet de Paris confirme l’information en ces termes “Plus de 120 victimes ont déjà porté plainte à la suite du communiqué reçu par la direction de l’APHP. 1,4 millions de personnes ont vu leur noms, prénoms, adresse, numéro de sécurité sociale, numéro de téléphone et courriels mis en ligne.”

Des risques d’atteintes graves à leur vie privée sont possibles. Les données personnelles accessibles sur le darkweb permettent des faits d’usurpation d’identité, des faits de phishings et de rançongiciel dont les préjudices financiers et moraux peuvent être importants.

Francis GRUZELLE
Journaliste et écrivain
Carte de Presse 55411