Action concernant la Préfecture de Police suite à la collecte des plaintes des victimes de la fuite de données de l’AP-HP par e-mail

Le 12 septembre 2021, l’Assistance Publique – Hôpitaux de Paris (AP-HP) a rencontré un incident qui a permis à un attaquant de dérober les données personnelles de 1,4 million de patients^[1].

Suite à cette brèche de données, la Préfecture de Police (de Paris) a édité un document électronique^[2] pour permettre aux victimes de déposer plainte « sans avoir à [se] rendre dans un commissariat ou une gendarmerie ».

Ce document, partagé notamment par le site Cybermalveillance^[3], demande aux victimes de saisir leur identité, nom, prénom, adresse, numéro de téléphone, adresse e-mail, mais aussi de saisir les éventuels problèmes rencontrés, puis d’envoyer le tout par e-mail, à l’adresse [RETIRÉ]@INTERIEUR.GOUV.FR, ou par courrier.

Le Délégué à la Protection des Données du site Cybermalveillance et de la Préfecture de Police ont été alertés des risques liés à la transmission de données personnelles sans chiffrement. Une plainte a également été déposée à la CNIL.

La CNIL a indiqué avoir « rappelé au délégué à la protection des données (DPO) du ministère de l’intérieur » que :

• « l’envoi de données personnelles en pièce jointe d’un courriel non chiffré constitue une modalité qui présente, pour les données concernées, un risque d’atteinte à leur intégrité » ;
• « si un dispositif alternatif de transmission de la plainte est bien présenté, [le site cybermalveillance] n’alerte pas les personnes concernées sur le fait que la transmission par courriel implique des risques de perte de confidentialité, ce qui aurait dû être le cas » ;
• « les personnes concernées doivent être informées, sur ce formulaire de collecte de données personnelles, des mentions prévues à l’article 104 de la loi du 6 janvier 1978 modifiée ».

Chronologie des événements :

• le 23/09/2021, il a été détecté que le site Cybermalveillance a publié un article sur son site intitulé « Violation de données de l’AP-HP : mise à disposition d’un formulaire de lettre plainte électronique ». Cet article fait la promotion du document de la Préfecture de Police et indique que ce document peut être envoyé par e-mail.
• le 23/09/2021, un e-mail a été envoyé au Délégué à la Protection des Données (DPO) du site Cybermalveillance pour l’informer qu’une page incite les internautes à envoyer des données à caractère personnel par un moyen de communication non sécurisé et pour lui demander de (i) ne pas inciter les victimes à envoyer leur plainte par e-mail et (ii) de transmettre ce message au Délégué à la Protection des Données de la Préfecture.
• le 23/09/2021, un e-mail a été reçu du DPO du site Cybermalveillance indiquant que (i) Cybermalveillance est simplement hébergeur du document et que (ii) le message a été transmis aux services de police en charge du document.
• le 28/09/2021, un message a été envoyé au DPO de la Préfecture de Police pour lui demander (i) de ne pas collecter les données à caractère personnel des victimes par e-mail et (ii) d’ajouter au formulaire les informations relatives à la protection des données.
• le 28/09/2021, un message automatique a été reçu indiquant que « le délai moyen de prise en compte de votre demande est de 7 jours ».
• le 29/11/2021, une plainté a été déposée à la CNIL (réf. 28-5927).
• le 16/03/2022, un message a été reçu de la CNIL indiquant (i) que « l’envoi de données personnelles en pièce jointe d’un courriel non chiffré constitue une modalité qui présente, pour les données concernées, un risque d’atteinte à leur intégrité » ; (ii) que « le site web [cybermalveillance] n’alerte pas les personnes concernées sur le fait que la transmission par courriel implique des risques de perte de confidentialité, ce qui aurait dû être le cas » ; et que (iii) « les personnes concernées doivent être informées, sur ce formulaire de collecte de données personnelles, des mentions prévues à l’article 104 de la loi du 6 janvier 1978 modifiée ».