Alpes Santé Travail un sst, un service de médecine du travail basé à Grenoble, a été récemment victime d’une cyberattaque dévastatrice qui a exposé des milliers de données médicales confidentielles. Les pirates informatiques ont utilisé un rançongiciel pour crypter les informations et ont exigé une rançon en échange de la clé de déchiffrement. Cette attaque soulève des préoccupations majeures quant à la sécurité des données médicales et à la protection de la vie privée des employés et des entreprises de la région.

Les conséquences de l’attaque : L’attaque, survenue le 7 mars, a été découverte par le personnel d’Alpes Santé Travail lorsqu’ils ont constaté l’impossibilité d’accéder à leur réseau informatique. Le prestataire informatique a rapidement été alerté et a confirmé le piratage. Les pirates ont réussi à crypter l’ensemble du serveur de données, les serveurs TSE ainsi que les sauvegardes de la paye. Bien que les données de prévention et de santé des entreprises adhérentes aient été protégées, les pirates ont réussi à aspirer des milliers de fichiers contenant des informations médicales sensibles, des rapports sur les entreprises et leurs salariés.

L’impact sur la confidentialité des données : Parmi les données volées se trouvent des suivis de visites médicales, des formulaires de demande de télétravail, des rapports sur les risques psychosociaux, des mails internes, des comptes rendus de réunion, et bien d’autres informations confidentielles. Ces données concernent des dizaines de collectivités, associations et entreprises de toutes tailles. La publication en ligne de ces informations compromet gravement la confidentialité des individus concernés, exposant leurs données médicales et professionnelles à un risque élevé d’exploitation et de vol d’identité.

Réponse des autorités et poursuites judiciaires : Alpes Santé Travail a immédiatement déposé plainte et informé la Commission nationale de l’informatique et des libertés (CNIL) conformément à la loi. Le parquet de Paris a ouvert une enquête sur cette affaire, confiant les investigations à la direction générale de la gendarmerie nationale. Les infractions alléguées incluent l’accès et la modification de systèmes de traitement de données, l’extorsion en bande organisée et l’association de malfaiteurs, passibles de sanctions pénales allant jusqu’à sept ans d’emprisonnement et de lourdes amendes financières.

L’importance de la conformité au RGPD : En plus des conséquences immédiates liées à la cyberattaque, la violation des données sensibles d’Alpes Santé Travail souligne également l’importance de se conformer au Règlement général sur la protection des données (RGPD). Le RGPD est une réglementation européenne qui vise à protéger la vie privée des individus et à renforcer la sécurité des données personnelles.

En vertu du RGPD, les organisations sont tenues de mettre en place des mesures techniques et organisationnelles adéquates pour garantir la sécurité des données et prévenir les violations. Cela inclut la mise en œuvre de mesures de sécurité robustes, la formation du personnel sur la protection des données, la réalisation d’évaluations régulières des risques et la mise en place de procédures de réponse aux incidents de sécurité.

En se conformant au RGPD, les organisations peuvent non seulement réduire le risque de cyberattaques, mais également éviter de lourdes amendes et sanctions en cas de violation de données. Les entreprises doivent s’assurer que les données médicales et personnelles sont traitées de manière légale, éthique et sécurisée, en respectant les principes fondamentaux du RGPD tels que la minimisation des données, la transparence et le consentement éclairé des individus.

Dans le cas d’Alpes Santé Travail, la divulgation en ligne des données sensibles soulève des préoccupations non seulement en termes de sécurité, mais également de non-conformité au RGPD. Les autorités compétentes, telles que la CNIL, peuvent enquêter sur l’incident et infliger des sanctions sévères si elles constatent des manquements aux obligations du RGPD.