Fuite de données de santé de 500.000 patients : la Cnil sanctionne l'éditeur de logiciels Dedalus

Ses négligences ont compromis les données médicales et administratives d'un demi-million de Français. L'éditeur de logiciels de santé Dedalus s'est vu infliger une amende de 1,5 million d'euros par le régulateur français des données personnelles pour une série de manquements de sécurité qui ont conduit à une fuite massive de données issues d'une trentaine de laboratoires d'analyses médicales utilisant ses services en 2021, la plus grosse faille jamais observée en France à l'époque.

"Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d'affaires de la société Dedalus Biologie", a indiqué jeudi 21 avril la Cnil dans un communiqué.

En février 2021, le quotidien Libération et le blog spécialisé de cybersécurité Zataz ont révélé qu'un fichier comportant 491.840 noms circulait librement sur un forum de pirates accessible depuis les moteurs de recherche habituels. La base de données en question contient une soixantaine d'informations par patient, dont les nom, prénom, numéro de Sécurité sociale, nom du médecin prescripteur, date de l'examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques). 

Plus de 60 informations personnelles par patient

La fuite de données avait concerné 28 laboratoires dans 6 départements des régions Bretagne, Centre-Val-de-Loire et Normandie, selon les informations communiquées à l'époque par la société Dedalus. 

Selon la Cnil, l'éditeur de logiciels s'est rendu coupable de "nombreux manquements techniques et organisationnels en matière de sécurité" dans le cadre "d'opérations de migration" d'un logiciel vers un autre. Parmi les manquements retenus, le régulateur cite "l'absence de chiffrement des données personnelles sur le serveur problématique" et "l'absence d'authentification requise" pour "accéder à la zone publique du serveur" depuis internet. Elle mentionne également "l'utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur".

Dans un communiqué distinct, Dedalus n'a pas cherché à nier les manquements relevés par la Commission et assuré avoir pris "toutes les mesures possibles" pour "identifier d'éventuelles vulnérabilités" dans ses systèmes, et "renforcé" ses procédures pour éviter que les fuites ne se reproduisent. "Plusieurs embauches ont aussi été effectuées dans les équipes" de sécurité informatique et du délégué à la protection des données (DPO), a-t-elle ajouté.

Les victimes sont exposées au phishing

Les victimes de la fuite de données font face depuis plusieurs mois à des tentatives de phishing ciblées, des arnaques sur-mesure utilisant leurs informations personnelles pour paraître crédible et tenter de leur dérober d'autres données ou des informations bancaires. Elles courent aussi le risque de voir leur identité usurpée pour souscrire à des services ou mener des activités en ligne à leur insu. Selon Damien Bancal, le responsable du blog Zataz qui avait découvert le fichier début 2021, les données volées circulent encore sur le web.

À la suite de la révélation de la circulation des données, le tribunal judiciaire de Paris avait ordonné aux grands fournisseurs d'accès à internet français -Orange, Free, SFR et Bouygues- le blocage d'un site sur lequel étaient publiées les données ayant fuité.Une enquête judiciaire avait également été confiée à la section cybercriminalité du parquet de Paris.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info