Fuite de données de santé de l’AP-HP : que pouvez-vous faire si vous êtes concerné ?
La CNIL a été informée de la fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la COVID-19 mi-2020. Elle rappelle aux personnes concernées, qui seront informées individuellement par l’AP-HP, de ne pas chercher à consulter un tel fichier.
Comment savoir si vous êtes concerné ?
Lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer directement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.
Si cette fuite de données vous concerne, l’organisme responsable (l’AP-HP) a dû vous en informer.
La CNIL n’est pas en mesure de vous informer de la présence de vos données dans ce fichier.
Attention : certains sites web indiquent détenir les données et pouvoir vous dire si vous êtes ou non concerné(e). La CNIL déconseille de les utiliser.
Quelles données peuvent être compromises ?
La fuite de données comprend notamment les informations suivantes, renseignées lors du test :
- les nom et prénoms ;
- la date de naissance ;
- le sexe ;
- le numéro de sécurité sociale ;
- l’adresse postale, électronique ou le numéro de téléphone ;
- les caractéristiques du test utilisé ;
- le résultat du test.
Ces informations, liées au contact tracing, ne comprennent aucune autre information médicale.
Quels sont les principaux risques ?
L'hameçonnage (phishing)
L’hameçonnage consiste à vous envoyer un courriel ou SMS frauduleux qui vous paraîtra plus réaliste du fait de l’utilisation des données récupérées grâce à la fuite de données (un soi-disant courriel de votre médecin ou de la sécurité sociale par exemple).
Que faire en cas de message suspect ?
- N’ouvrez surtout pas les pièces jointes.
- Ne répondez pas au message.
- Ne consultez pas les liens et supprimez le message immédiatement.
L’usurpation d’identité
Si vous pensez être victime d’une usurpation d’identité à la suite de la divulgation d’informations vous concernant, vous pouvez :
- vous rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour vous prémunir d’usurpation ;
- porter plainte au plus vite auprès d'un commissariat de police ou de gendarmerie.
Si l’usurpation est confirmée, demandez auprès des services de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à votre nom par l’escroc.