La Commission nationale de l’informatique et des libertés (CNIL) a obtenu en justice le blocage du site diffusant le fichier des patients. Next INpact diffuse l’ordonnance de référé rendue le 4 mars 2021, par le premier vice-président au tribunal judiciaire de Paris.
La fuite du fichier contenant les informations de 500 000 patients a déjà des répercussions judiciaires. Dans un communiqué, la CNIL indique avoir saisi la justice aux fins d’obtenir le blocage de l’un des sites hébergeant le fameux fichier.
« Cette décision fait suite aux investigations immédiatement lancées par la CNIL après la révélation dans la presse de cette violation de données » prévient encore l’autorité qui révèle avoir mené jusqu’alors trois opérations de contrôle.
Elle indique aussi avoir « pris les mesures nécessaires auprès des organismes concernés afin que les personnes dont les données ont été diffusées soient informées de cette violation par les laboratoires dans les meilleurs délais ».
Que prévoit exactement cette fameuse ordonnance de blocage ?
Un éditeur inconnu, des demandes restées sans réponse
Déjà, on découvre l’historique des démarches entreprises par la commission. Le 24 février 2021, ses services ont procédé à une opération de contrôle en ligne, pour constater qu’un lien partagé sur un forum de discussion pointait vers le fameux fichier hébergé sur un serveur tiers.
La CNIL a analysé ce fichier aux 491 840 lignes. Selon le résumé dressé par l’ordonnance :
« Chaque ligne se rapporte à une personne physique identifiée par son nom d’usage (éventuellement accompagné de son nom patronymique), son prénom, sa date de naissance, son numéro de téléphone fixe et/ou portable, son numéro de sécurité sociale (NIR), son adresse postale et son adresse électronique. Ces informations sont complétées par d’ autres données, comme le nom et les coordonnées du médecin traitant, la date de la dernière visite médicale, le nom de l’assuré social dont le patient est ayant-droit ».
« Des données médicales sont également renseignées, comme le groupe sanguin, le facteur rhésus et l’existence ou non d’une affection de longue durée (ALD). Un champ nommé « commentaires » contient des indications libres qui peuvent renvoyer, à nouveau, à d’autres données à caractère personnel (numéro de mutuelle, par exemple). Plusieurs de ces champs contiennent des indications relatives à l’état de santé des intéressées ».
Constatant l'ampleur de la fuite, elle a tenté d’obtenir le retrait de ce fichier auprès de l'éditeur de ce site « .gg » (pour les îles de Guernesey). Vainement puisque l’adresse de son contact a renvoyé un message d’erreur. Quant à CloudFlare, l'intermédiaire utilisé par ce site n’a même pas daigné répondre.
Faute de mieux, le 1er mars 2021, une assignation en référé d’heure à heure a été délivrée à la requête de la CNIL.
Un blocage de 18 mois aux frais des FAI
Elle a enjoint Orange, Free, SFR et Bouygues Télécom de « mettre en œuvre ou de faire mettre en œuvre, sans délai et de manière définitive et illimitée, toutes mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du fichier "full *****.7z" ». À défaut, elle a réclamé le blocage du site « *****.gg) ou à défaut d’une adresse URL pointant vers le fameux fichier.
En face, les FAI lui ont expliqué qu’ils ne pouvaient ni bloquer ni procéder à la suppression d'un seul fichier ou d'un contenu qui se trouverait sur un site.
Dans son ordonnance, le juge a relevé sans mal que « la mise en ligne de ce fichier, contenant de très nombreuses données relatives à l’identité et à la santé de près de 500 000 personnes, constitue une atteinte grave et immédiate aux droits des personnes concernées, notamment le droit au respect de la vie privée ».
Et pour faire cesser cette atteinte, il n’y a plus mille solutions au regard du contexte : le blocage.
Si la CNIL défendait une mesure illimitée dans le temps, le juge a opté pour une solution présentée comme plus appropriée et proportionnée : « délivrer injonction aux fournisseurs d’accès à internet de mettre en oeuvre ou de faire mettre en oeuvre, sans délai et pour une période de 18 mois à compter de la présente décision toutes mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du service de communication au public en ligne "*****.gg" sur leurs réseaux ».
Relevons enfin que le juge judiciaire n’a pas voulu condamner la CNIL, autorité administrative indépendante, « à prendre en charge le coût des mesures effectivement prises par les fournisseurs d'accès internet au vu de la séparation des autorités administratives et judiciaires ».
Un fichier simplement planqué sous le tapis
« Cette décision montre qu’un référé heure à heure peut fonctionner. Assignation le 1er, audience le 3 et décision le 4 mars », commente Me Alexandre Archambault.
L’avocat spécialisé dans le numérique relève toutefois que si la solution va réduire l’exposition du fichier, « celui-ci reste accessible à des fins malveillantes » (d’où la sécurisation des URL citées dans le PDF, réalisée par nos soins).
« La CNIL a fait au plus pressé tout en faisant bien les choses : un référé heure à heure et une procédure contradictoire ». Seule solution pour gagner davantage en efficacité : passer par le guichet des autorités américaines ou saisir un juge californien pour demander l’intervention de CloudFare. Un traitement qui s'inscrit néanmoins dans un calendrier plus long.
