Des données de santé de millions de personne ont fuité du laboratoire Cerba

2021-07-17 Off By dporgpd

Les noms, prénoms, résultats d’analyses et autres données de santé de patients français ont été dérobés par «un tiers», après une fuite des serveurs du laboratoire de biologie médicale. Cerba indique avoir déposé plainte contreX.

De l’aveu de la directrice de la communication de Cerba, grand laboratoire d’analyses français, c’est une «période assez difficile à traverser». Fin juin, selon elle, une fuite provenant d’une « erreur humaine » commise par le prestataire chargé de l’hébergement d’une des bases de données du laboratoire a conduit à l’exposition pendant quelques heures sur Internet de plusieurs millions de données de santé.

Un des membres de l’équipe aurait «ouvert un flux qu’il n’aurait pas dû», explique-t-on au troisième laboratoire d’analyse européen, dont la majorité de l’activité consiste à réaliserles analyses pour d’autres labos, comme ceux du groupe BioCity dans la Haute-Saône, ou établissements de santé (le centre hospitalier universitaire de Limoges, par exemple).

À la suite de cet incident, «un tiers», dont Cerba affirme ignorer l’identité, aurait eu accès à cette dizaine de gigaoctets d’informations.

Se sont ainsi retrouvés publics les nom, prénom, date de naissance et genre de patients, accompagnés de la nature et des résultats d’examens réalisés par Cerba entre le 1 janvier 2017 et le 24 juin 2021. Soit plus de quatre années de données de tests PCR ou sérologiques, de séquençages Covid, de frottis cervicaux et vaginaux, de dosages d’insuline…

« S’il n’y a pas que des données administratives mais aussi des résultats de test, c’est catastrophique, commente Lionel Barrand, président du Syndicat des jeunes biologistes. On voit de plus en plus de boîtes privées se faire subtiliser leurs données, et dans le domaine de la santé, c’est d’autant plus sensible que ça touche directement au secret médical.»

De son côté, le laboratoire Cerba assure qu’aucun numéro de Sécurité sociale n’est concerné par l’incident, ni les données bancaires, coordonnées téléphoniques, adresses mails ou adresses postales.

« Aujourd’hui nous ne sommes pas capables de dire [le nombre de personnes dont les données ont fuité] parce que beaucoup de ces données sont compressées. On parle de plusieurs millions de données mais ça ne veut pas forcément dire que c’est exactement autant de patients », clarifie la directrice de la communication de Cerba, qui se veut rassurante : « Nous avons pris toutes les actions de remédiation nécessaires : identifier la base de données, isoler les serveurs, mener des actions d’investigation pour être en mesure de confirmer que les événements ne sont circonscrits qu’à la seule base de données en cause… »

Enfin, le laboratoire affirme avoir mis en place « une veille pour identifier toute éventuelle exploitation de ces données sur Internet, ce qui n’est pas le cas aujourd’hui»

L’information est restée privée une petite semaine, après que Cerba eut porté plainte contre X, selon les déclarations du laboratoire, et alerté l’agence régionale de santé et la Commission nationale de l’informatique et des libertés (Cnil).

En février, le site canadien Zataz et Libérationavaient révélé l’énorme piratage des données de 500000 personnes ayant effectué des tests médicaux dans les laboratoires du réseau Cerballiance appartenant au groupe Cerba Health Care, dont le laboratoire Cerba est « le cœur ».

Des informations telles que leur groupe sanguin ont été dérobées, ou encore leur numéro de téléphone, leur date de naissance et d’hospitalisation, des éléments concernant leur état de santé ou leurs traitements médicamenteux.