Numéro de téléphone, examens médicaux: ces piratages de données qui concernent de nombreux Français

Ce 7 février, la Commission nationale de l'informatique et des libertés (Cnil) a annoncé sur son site que les numéros de sécurité sociale de la moitié des Français sont désormais dans la nature. En cause, le piratage de deux entreprises, Viamedis et Almerys, des sous-traitants en charge de la gestion du tiers payant pour de nombreuses complémentaires santé (mutuelles).

"Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit" indique la Cnil sur son site.

Facebook: 20 millions de numéros de téléphone

Une fuite d'autant plus problématique que le numéro de sécurité sociale accompagne un Français tout au long de sa vie, et que l'information peut être utilisée à des fins d'escroquerie par la suite.

Pour autant, d'autres fuites massives de données sensibles ont déjà eu lieu. La plus importante d'entre elles concerne probablement Facebook. En 2021, une base de données comprenant les numéros de téléphone de plus de 530 millions d'utilisateurs, dont 20 millions de Français, a été mise en vente par des hackers.

Dans les faits, les informations avaient été collectées en 2019 par des pirates ayant profité d'une faille de sécurité leur permettant d'aspirer une large quantité de données au sein de l'outil permettant d'importer ses contacts sur la plateforme, expliquait ainsi Facebook sur son site.

En août 2023, c'est Pôle emploi (désormais baptisé France Travail) qui avait laissé filer les données de 10 millions de personnes. Là encore, des informations très sensibles étaient concernées: nom, prénom, statut actuel ou ancien de demandeur d'emploi et, là encore, numéro de sécurité sociale.

Dans le cadre de la fuite de Pôle emploi comme de celle des complémentaires santé, le principal risque est de faire face à des tentatives d'escroquerie, par mail et par SMS, avec des messages utilisant ces données personnelles pour être personnalisés et plus crédibles.

Dans la plupart des cas, l'objectif est de pousser la victime à cliquer sur un lien malveillant et à inscrire ses données bancaires pour payer des frais imaginaires ou recevoir un prétendu remboursement.

Données d'analyses médicales

En 2019, une autre fuite massive de données avait concerné Deezer, le géant français du streaming, avec 46 millions de comptes français concernés. Les informations ayant fuité étaient toutefois légèrement moins sensibles - bien que toujours problématiques, comme le mail, la date de naissance, ou encore l'adresse IP.

Moins importante, mais particulièrement dramatique, une fuite de données liées à des examens de santé de quelque 500.000 Français a eu lieu en 2021, concernant les patients de 28 laboratoires d'analyses médicales.

"Les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l'examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) de ces personnes ont ainsi été diffusés sur internet" avait ainsi expliqué la Cnil.

Face aux manquements en matière de protection des données et à la gravité de la fuite, l'éditeur du logiciel en cause, Dedalus France, a été sanctionné à hauteur de 1,5 million d'euros par la Cnil en avril 2022.