TJ Paris, ord. réf., 4 mars 2021, n° 21-51823

Le 4 mars 2021, le Tribunal judiciaire de Paris a ordonné aux principaux fournisseurs d’accès à internet (FAI) français de bloquer sans délai l’accès à un site hébergeant un fichier divulguant les données personnelles de santé de près de 500 000 personnes.

Constituée à l’issue de cyberattaques ayant ciblé les systèmes d’information de 28 laboratoires français, ce fichier avait été initialement partagé sur le Darknet, avant d’être rendu accessible au public sur internet. Il contenait des données dites « sensibles », notamment des traitements médicaux ou encore des informations sur des pathologies.

Informée par les médias de cette fuite, la Commission nationale de l’informatique et des libertés (CNIL) avait en vain demandé le retrait du fichier litigieux à l’éditeur du site basé à Guernesey, puis à l’hébergeur de celui-ci domicilié en Californie. La CNIL avait alors assigné en référé d’heure à heure les quatre grands fournisseurs d’accès à internet (FAI) français (Orange, SFR, Free et Bouygues Télécom) pour voir rendre inaccessible la base de données en question ou le site l’hébergeant.

Par une ordonnance du 4 mars 2021, le premier vice-président du Tribunal Judiciaire de Paris a fait droit à aux demandes de la CNIL et a enjoint aux FAI de mettre en œuvre « toutes les mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du service de communication au public en ligne » des contenus litigieux sur leurs réseaux, sans délai et pour une période de dix-huit mois.

Cette décision d’urgence, illustre les pouvoirs d’action de la CNIL en matière d’atteinte à la confidentialité des données personnelles, en particulier s’agissant de données de santé.