La Préfecture de Police a été informée que les plaintes des victimes de la fuite de données de santé de patients de l’Assistance Publique – Hôpitaux de Paris (AP-HP) ne devraient pas être transmises par e-mail, contrairement ce que la Préfecture suggère dans le document qu’elle a éditée à destination des victimes pour leur permettre de porter plainte.

Les plaintes des victimes contiennent des données à caractère personnel, notamment leur nom, prénom, date de naissance, adresse, ville, numéro de téléphone et adresse e-mail. En demandant aux victimes d’envoyer ces données par e-mail, la Préfecture de Police fait prendre le risques aux internautes que ces données soient interceptées et lues, les e-mails n’étant pas un moyen de communication sécurisé.

Le Groupement d’Intérêt Public (GIP) ACYMA, auteur du site Cybermalveillance (cybermalveillance.gouv.fr) a également été alerté, car un article posté sur leur site fait la promotion du document de la Préfecture et incite aussi les victimes à envoyer leur plainte par e-mail.

Événements relatifs à cette alerte :

  • le 23/09/2021, le site Cybermalveillance publie un article sur son site intitulé « Violation de données de l’AP-HP : mise à disposition d’un formulaire de lettre plainte électronique ». Cet article fait la promotion du document de la Préfecture de Police et indique que ce document peut être envoyé par e-mail.
  • le 23/09/2021, un e-mail a été envoyé au Délégué à la Protection des Données du site Cybermalveillance pour l’informer qu’une page de leur site incite les internautes à envoyer des données à caractère personnel par un moyen de communication non sécurisé et pour lui demander de (i) ne pas inciter les victimes à envoyer leur plainte par e-mail et (ii) de transmettre ce message au Délégué à la Protection des Données de la Préfecture.
  • le 23/09/2021, un e-mail a été reçu du Délégué à la Protection des Données du site Cybermalveillance indiquant que (i) Cybermalveillance est simplement hébergeur du document et que (ii) le message a été transmis aux services de police en charge du document.
  • le 28/09/2021, un message a été envoyé au Délégué à la Protection des Données de la Préfecture de Police pour lui demander (i) de ne pas collecter les données à caractère personnel des victimes par e-mail et (ii) d’ajouter au formulaire les informations relatives à la nature des traitements effectués.
  • le 28/09/2021, un message automatique a été reçu indiquant que « le délai moyen de prise en compte de votre demande est de 7 jours ».
  • le 29/11/2021, une plainte a été déposée auprès de la CNIL, référence 28-5927.