Fuite de données de santé

1,5 million d'euros d'amende pour un éditeur de logiciels

Par

Publié le 22/04/2022

Article réservé aux abonnés

Crédit photo : Phanie

La Commission nationale informatique et libertés (CNIL) a infligé une amende de 1,5 million d'euros à l'éditeur de logiciels Dedalus après une fuite massive de données dans des laboratoires d'analyse médicale.

Suite à cette fuite, révélée début 2021, des informations personnelles appartenant à près de 500 000 personnes s'étaient retrouvées en accès libre sur au moins un forum référencé par des moteurs de recherche. Les données accessibles comprenaient « les nom, prénom, numéro de Sécurité sociale, nom du médecin prescripteur, date de l'examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) », a rappelé la CNIL dans un communiqué. Cette fuite de données avait concerné 28 laboratoires dans 6 départements des régions Bretagne, Centre-Val-de-Loire et Normandie.

Selon la CNIL, Dedalus s'est rendu coupable de « nombreux manquements techniques et organisationnels en matière de sécurité » dans le cadre d'opérations de migration d'un logiciel vers un autre. Au regard de la gravité des manquements retenus et compte tenu du chiffre d'affaires de la société Dedalus Biologie, la CNIL a décidé de fixer à 1,5 million d'euros le montant de l'amende dont devra s'acquitter l'entreprise. Cette dernière n'a d'ailleurs pas cherché à nier les manquements relevés par la CNIL. Elle assure avoir pris « toutes les mesures possibles pour identifier d'éventuelles vulnérabilités » dans ses systèmes, et indique avoir renforcé ses procédures pour éviter que les fuites ne se reproduisent.

Après révélation de cette affaire, le tribunal judiciaire de Paris avait ordonné aux grands fournisseurs d'accès à Internet français de bloquer un site sur lequel étaient publiées les données ayant fuité. Malgré cela, les données volées circulent encore sur le Web, selon Damien Bancal, responsable d'un blog spécialisé sur la délinquance informatique, « La base de données était proposée gratuitement par un groupe de pirates qui l'utilisait pour faire la promotion de leurs propres services », affirme-t-il.

Avec l'AFP.