Fin février 2021, le site d’information ZATAZ et le journal Libération révèlent la fuite de données personnelles et médicales concernant près de 500 000 personnes.
Les données proviendraient de 28 laboratoires d’analyses médicales situés dans six départements en Bretagne, en Normandie et dans le Centre-Val de Loire qui ont été touchés par une cyberattaque.
L’origine exacte du contexte n’est pas encore déterminée mais nous savons que ces laboratoires utilisaient le même logiciel.

Les cyberattaquants ont mis le fichier informatique en ligne avec les noms ainsi que les coordonnées personnelles (adresse, numéro de sécurité sociale…) et les indications médicales sur les personnes identifiées (groupe sanguin, médecin traitant, commentaires sur l'état de santé…).
Les laboratoires victimes de la cyberattaque ont effectué une notification à la CNIL et ont dû informer chaque personne physique concernée dans les meilleurs délais conformément aux dispositions du RGPD.
La CNIL a immédiatement procédé à une opération de contrôle et a saisi le tribunal judiciaire de Paris pour faire cesser l’atteinte grave et immédiate aux droits et libertés des personnes. Par une ordonnance du 4 mars 2021, le tribunal a enjoint aux fournisseurs d’accès à internet (SA ORANGE, SAS FREE, SA SFR et SA BOUYGUES TELECOM), de bloquer le service de communication au public du fichier litigieux comprenant des données relatives à près de 500 000 patients.
La CNIL demeurera attentive, en liaison avec l'ANSSI et le parquet de Paris, à la nécessité d'éventuelles mesures complémentaires.

Cette cyberattaque entraine plusieurs risques majeurs pour les personnes concernées, notamment : l’hameçonnage (phishing) qui est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance (un soi-disant courriel du médecin ou de la sécurité sociale par exemple) et l’usurpation d’identité.

Les personnes concernées ne manqueront pas d’engager la responsabilité civile ou pénale des entités à l’origine des préjudices subis.
Nous rappelons que, depuis le RGPD, les responsables de traitements et leurs sous-traitants sont solidairement responsables à l’égard des personnes physiques concernées. Ce qui suppose que ces obligations soient respectées par les détenteurs des données.
En outre, la CNIL pourra également prononcer des sanctions financières pouvant s’élevaient jusqu’à 2% du chiffre d’affaires annuel mondial.
La CNIL a d’ailleurs clairement affirmé que la sécurité des données de santé constitue un axe prioritaire de contrôle pour 2021.

En conclusion, une vigilance accrue de tous les acteurs traitant des données de santé est nécessaire et les procédures devant le juge judiciaire sont désormais un des axes de la prévention de ces risques . La récente publication des 6 CCAG le 1er avril tend à alerter les entités publiques, et les entreprises candidates aux marchés publics sur la nécessité d’intégrer ces dispositions dans leurs contrats.

Genesis Avocats

| Retrouvez toute notre actualité sur notre page LinkedIn !

Six nouveaux CCAG ont été publiés (y compris le nouveau CCAG propre à la maîtrise d’oeuvre).

Ils s’appliquent aux marchés publics pour lesquels une consultation est engagée ou un avis d'appel à la concurrence envoyé à la publication à compter du 1er avril, si les DCE renvoient à l’un des CCAG de manière expresse.

Jusqu'au 1er octobre 2021, les acheteurs publics peuvent faire référence aux anciens CCAG qui seront définitivement abrogés à cette date ultime.

Les principales nouveautés :

• s’agissant des avances, deux options peuvent être choisies, l’autre (option A) qui prévoit un taux d’avance de 20% minimum pour les PME ; l’une (l’option B) qui est le régime classique issu de la commande la publique,
• les pénalités de retard sont plafonnées à 10% du montant du marché, étant précisé qu’elles doivent faire l’objet d’une procédure préalable permettant au Titulaire du marché de faire valoir ses observations ;
• lorsque des prestations supplémentaires sont demandées, celles-ci ne peuvent faire l’objet d’un ordre de service à zéro euro, une « juste rémunération » étant due au titulaire ;
• les clauses environnementales et les clauses sociales d’insertion ont été complétées.

S’agissant plus spécifiquement du CCAG-travaux, il a été tenu d’une pratique interventionnisme plus grande du maître d’ouvrage, possible signataire des ordres de service et à défaut il donne un accord avant la notification des OS autorisant travaux et délais supplémentaires.

Le titulaire peut s’opposer à l’exécution d’un OS à condition que soit démontré le risque de sécurité, d’atteinte à la santé ou s’il y a un manquement à la loi ou à un règlement. L’OS est alors suspendu jusqu’à la notification de la réponse du maître d’ouvrage qui doit intervenir sous quinze jours, sous peine de ne pas être opposable au Titulaire.

• Arrêté du 30 mars 2021 portant approbation du cahier des clauses administratives générales des marchés publics de fournitures courantes et de services
• Arrêté du 30 mars 2021 portant approbation du cahier des clauses administratives générales des marchés publics de travaux
• Arrêté du 30 mars 2021 portant approbation du cahier des clauses administratives générales des marchés publics industriels
• Arrêté du 30 mars 2021 portant approbation du cahier des clauses administratives générales des marchés publics de prestations intellectuelles
• Arrêté du 30 mars 2021 portant approbation du cahier des clauses administratives générales des marchés publics de techniques de l'information et de la communication
• Arrêté du 30 mars 2021 portant approbation du cahier des clauses administratives générales des marchés publics de maîtrise d'oeuvre

Genesis Avocats

| Retrouvez toute notre actualité sur notre page LinkedIn !