Le 12 septembre 2021, l’Assistance Publique – Hôpitaux de Paris (AP-HP) a rencontré un incident qui a permis à un attaquant de dérober les données personnelles de 1,4 million de patients[1].

Suite à cette brèche de données, la Préfecture de Police (de Paris) a édité un document électronique[2] pour permettre aux victimes de déposer plainte « sans avoir à [se] rendre dans un commissariat ou une gendarmerie ».

Ce document, partagé notamment par le site Cybermalveillance[3], demande aux victimes de saisir leur identité, nom, prénom, adresse, numéro de téléphone, adresse e-mail, mais aussi de saisir les éventuels problèmes rencontrés, puis d’envoyer le tout par e-mail ou par courrier.

Le Délégué à la Protection des Données du site Cybermalveillance et de la Préfecture de Police ont été alertés des risques liés à la transmission de données personnelles sans chiffrement. Une plainte a également été déposée à la CNIL.

La CNIL a indiqué avoir « rappelé au délégué à la protection des données (DPO) du ministère de l’intérieur » que :

  • « l’envoi de données personnelles en pièce jointe d’un courriel non chiffré constitue une modalité qui présente, pour les données concernées, un risque d’atteinte à leur intégrité » ;
  • « si un dispositif alternatif de transmission de la plainte est bien présenté, [le site cybermalveillance] n’alerte pas les personnes concernées sur le fait que la transmission par courriel implique des risques de perte de confidentialité, ce qui aurait dû être le cas » ;
  • « les personnes concernées doivent être informées, sur ce formulaire de collecte de données personnelles, des mentions prévues à l’article 104 de la loi du 6 janvier 1978 modifiée ».

Chronologie des événements :

  • le 23/09/2021, il a été détecté que le site Cybermalveillance a publié un article sur son site intitulé « Violation de données de l’AP-HP : mise à disposition d’un formulaire de lettre plainte électronique ». Cet article fait la promotion du document de la Préfecture de Police et indique que ce document peut être envoyé par e-mail.
  • le 23/09/2021, un e-mail a été envoyé au Délégué à la Protection des Données (DPO) du site Cybermalveillance pour l’informer qu’une page incite les internautes à envoyer des données à caractère personnel par un moyen de communication non sécurisé et pour lui demander de (i) ne pas inciter les victimes à envoyer leur plainte par e-mail et (ii) de transmettre ce message au Délégué à la Protection des Données de la Préfecture.
  • le 23/09/2021, un e-mail a été reçu du DPO du site Cybermalveillance indiquant que (i) Cybermalveillance est simplement hébergeur du document et que (ii) le message a été transmis aux services de police en charge du document.
  • le 28/09/2021, un message a été envoyé au DPO de la Préfecture de Police pour lui demander (i) de ne pas collecter les données à caractère personnel des victimes par e-mail et (ii) d’ajouter au formulaire les informations relatives à la protection des données.
  • le 28/09/2021, un message automatique a été reçu indiquant que « le délai moyen de prise en compte de votre demande est de 7 jours ».
  • le 29/11/2021, une plainté a été déposée à la CNIL (réf. 28-5927).
  • le 16/03/2022, un message a été reçu de la CNIL indiquant (i) que « l’envoi de données personnelles en pièce jointe d’un courriel non chiffré constitue une modalité qui présente, pour les données concernées, un risque d’atteinte à leur intégrité » ; (ii) que « le site web [cybermalveillance] n’alerte pas les personnes concernées sur le fait que la transmission par courriel implique des risques de perte de confidentialité, ce qui aurait dû être le cas » ; et que (iii) « les personnes concernées doivent être informées, sur ce formulaire de collecte de données personnelles, des mentions prévues à l’article 104 de la loi du 6 janvier 1978 modifiée ».

Notes et références

  1. L’Assistance Publique - Hôpitaux de Paris (AP-HP) a rencontré un incident de sécurité le 12 septembre 2021 qui a eu pour conséquence le vol de données personnelles de patients. Voir « ASSISTANCE PUBLIQUE - HÔPITAUX DE PARIS – Les données de 1,4 million de patients dérobées suite à une faille de sécurité d’un programme ».
  2. La Préfecture de Police a édité un document PDF pour permettre aux victimes de l’AP-HP de déposer plainte (source : cybermalveillance.gouv.fr).
  3. Le site Cybermalveillance (cybermalveillance.gouv.fr) est édité par les services de l’État et a pour missions « d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s’en protéger ». Un article a été publié sur le site faisant la promotion du document édité par la Préfecture de Police (source: cybermalveillance.gouv.fr).