Paris, le mardi 28 juin 2016 – L’information a soulevé une vague d’indignation parmi les policiers français, quinze jours après l’assassinat de deux d’entre eux à leur domicile à Magnanville. RTL a révélé que les fiches de 112 000 adhérents à la Mutuelle générale de la police avaient été "envoyées" sur le "cloud" de Google, protégées uniquement par un mot de passe. Cette manipulation serait le fait de la malveillance d’un salarié d’un sous-traitant de la mutuelle, travaillant à Limoges, qui en conflit avec sa direction en raison d’une prime non versée (!) aurait procédé à un cet acte pour se venger. Une enquête a été ouverte pour « détournement de données sensibles ». Il s’agira notamment de déterminer si des tiers ont eu accès à ces données pendant la période de deux semaines où elles ont ainsi été placées sur le "cloud" de Google. Les informations n’étant pas directement présentées sur le web, il n’est pour l’heure nullement possible d’affirmer qu’elles ont été divulguées à des personnes non habilitées. Cependant, en raison du caractère très sensible de ces données, comprenant notamment les noms, adresses et situation de famille des adhérents, les investigations seront minutieuses. « Je demande à l’ensemble des institutions et organismes ayant en charge la gestion de données personnelles d’agents de la police nationale de prendre toutes les mesures de sécurité nécessaires » a insisté le directeur général de la police nationale, Jean-Marc Falcone.
Des systèmes de sécurité loin d’être infaillibles
Ce n’est pas la première fois que la Mutuelle générale de la police est la cible d’une telle "attaque", même si les incursions internes sont plus rares. Cette affaire révèle une fois encore la vulnérabilité des données de santé et leur insuffisante protection. Ces dernières années, plusieurs exemples ont montré la facilité avec laquelle il est possible, même sans action de piratage, d’accéder à des informations confidentielles à caractère sanitaires sur des sujets parfaitement identifiables. Ces failles résultent fréquemment d’une formation trop rudimentaire des personnes chargées des systèmes d’information au sein par exemple des établissements de santé. La Commission nationale informatique et libertés (CNIL) rappelle pourtant que « Les responsables de traitement de données sont soumis à l’obligation de la loi informatique et Libertés. Dès lors, ils doivent prendre les mesures techniques et d’organisation appropriées pour garantir la sécurité et la confidentialité des données de santé à caractère personnel ». Par ailleurs, l’Etat a défini une « politique générale de sécurité des systèmes d’information de santé (PGSSI-S) ». Enfin, de nouveaux outils et options sont régulièrement étudiés, telle une plus stricte anonymisation des données. L’ensemble de ces garde-fous n’offrent cependant pas aujourd’hui une sécurité suffisante face à des attaques de plus en plus nombreuses. Un contexte qui pourrait entourer d’appréhension la volonté actuelle des pouvoirs publics d’élargir l’accès aux données de santé à des fins de statistiques et enquêtes en tous genres.
Léa Crébat
