Fuite de données de santé de 500.000 patients : on connaît les départements concernés

Une large fuite de données médicales touchant près de 500.000 personnes a été dévoilée il y a quelques jours. Une diffusion qui fait suite à un piratage qui a touché plusieurs laboratoires médicaux utilisant le logiciel d'une même société, Dedalus. Cette dernière a confirmé par communiqué vendredi 26 février "investiguer sur un grave acte de cybercriminalité ayant conduit à la violation de données de certains de ses clients laboratoires".

Dedalus a informé les laboratoires touchés, qui sont répartis sur 6 départements des régions Bretagne, Centre-Val-de-Loire et Normandie, et "coopère avec les autorités compétentes afin de déterminer les sources de cette cyberattaque".

"On demande aux laboratoires de se soumettre à des obligations réglementaires assez fortes (...), mais le souci ce sont les annexes, les éditeurs de logiciels, qui ne sont pas soumis aux mêmes normes. C'est une faute au niveau du fournisseur et non des laboratoires", a réagi auprès de l'AFP Pierre Le Treut, délégué d'Armoris, le syndicat des laboratoires de biologie médicale du grand ouest.

Des données disponibles sur des forums référencés

La société Dedalus France (ex-Medasys) est présente depuis 2009 auprès de 400 établissements privés d'analyses médicales, au moment de l'acquisition de Mega-bus International, fournisseur de logiciels. L'AFP avait pu constater mardi qu'un fichier comportant 491.840 noms, associés à des coordonnées (adresse postale, téléphone, email) et un numéro d'immatriculation à la sécurité sociale était disponible librement en ligne sur au moins un forum recensé par des moteurs de recherche. 

Plusieurs indications accompagnaient les noms des patients, comme le groupe sanguin, le médecin traitant ou encore la mutuelle, tout comme des commentaires sur l'état de santé des personnes. Selon la rubrique de vérification Checknews du quotidien Libération, qui a enquêté sur le sujet, les données correspondent à des prélèvements effectués entre 2015 et octobre 2020.

"La fuite de données est en cours d'investigation par l'Agence nationale de la sécurité des systèmes d'information (Anssi), le ministère des Solidarités et de la Santé, en lien avec la Cnil et l'éditeur de logiciel, dont il est suspecté que des anciennes installations de sa solution de gestion de laboratoire soient impliquées", a indiqué mercredi soir à l'AFP la Direction générale de la santé.

De gros risques financiers pour l'entreprise

La section cybercriminalité du parquet de Paris a été chargée d'une enquête judiciaire ouverte également mercredi. Elle est menée pour "accès et maintien frauduleux dans un système de traitement automatisé de données" et "extraction, détention et transmission frauduleuse" de ces données.

La Cnil, gendarme des données personnelles, n'avait cependant pas été notifiée jusqu'à mercredi d'une violation de données d'une telle ampleur, comme cela est requis dans un délai de 72 heures par le règlement européen sur la protection des données (RGPD).

Le RGPD prévoit pour ce type d'incidents des sanctions pouvant atteindre 4% du chiffre d'affaires. En cas de risque élevé pour les droits et libertés des personnes physiques, les entreprises responsables doivent également notifier individuellement les victimes de la fuite.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info