Blocage par les FAI de l’accès aux données volées de 500 000 patients
9 mars 2021
Le 4 mars 2021, le Président du Tribunal judiciaire de Paris a enjoint aux fournisseurs d’accès à internet ORANGE, FREE, SFR et BOUYGUES TELECOM de mettre en œuvre ou de faire mettre en œuvre pour une période de 18 mois toutes mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du service de communication au public en ligne « *****.gg » sur leurs réseaux.
Cette ordonnance s’inscrit dans le cadre du vol et de la diffusion en ligne d’informations confidentielles de près de 500 000 patients français (identité, informations sur leur état de santé, mot de passe…) dérobées à des laboratoires. Cette affaire a créé un choc dans l’opinion publique et a révélé l’ampleur du commerce illégal des données de santé sur internet.
L’ordonnance du 4 mars 2021 est inédite en ce que :
- Elle est prise au triple visa de l’article 6.I-8 de la loi n 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et des articles 1er et 21 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; il s’agit, à notre connaissance, de la première mise en application de l’article 21, IV de cette loi qui permet au Président de la CNIL d’agir en référé « en cas d’atteinte grave et immédiate aux droits et libertés » des personnes, ici le droit au respect de leur vie privée ;
- La mesure de blocage ordonnée constitue une mesure allant au-delà du simple « take down » puisqu’il s’agit d’une mesure de « surveillance ciblée » de nature à assurer le blocage effectif du service ; la juridiction a préalablement vérifié que la CNIL avait tenté de contacter directement l’éditeur du fichier litigieux et l’hébergeur du site et n’avait pas été en mesured’agir efficacement et rapidement contre eux, faute d’identification du premier et de réponse du second.
Nécessaire et utile, la mesure recherchée par la CNIL vise à empêcher l’accès aux données depuis le territoire français. Mais elle ne règle pas la question de leur accès depuis l’étranger. Cette mesure pourrait utilement être complétée des actions à l’encontre des prestataires de services essentiels à l’accessibilité du site bloqué : l’hébergeur et le bureau d’enregistrement du nom de domaine.