500 000 personnes victimes d'une fuite de données de santé : la CNIL condamne Dedalus Biologie

22 avril 2022 à 15h40
5
Santé numérique

La CNIL a lourdement sanctionné la société Dedalus Biologie, pour des défauts de sécurité ayant entraîné la fuite de données médicales, ainsi qu'une violation du RGPD.

Jeudi, la Commission nationale de l'informatique et des libertés a annoncé avoir sanctionné, une semaine plus tôt, la société Dedalus Biologie, spécialisée dans l'édition de logiciels système et de réseau dans le domaine de la santé, après une fuite de données ayant impacté près de 500 000 personnes. La CNIL a infligé à l'entreprise, coupable de plusieurs manquements au RGPD, une amende de 1,5 million d'euros.

Des informations de santé particulièrement sensibles qui ont un temps fuité en ligne

C'est un lanceur d'alerte strasbourgeois, ancien salarié de Dedalus Biologie, qui avait permis la révélation, le 21 février 2021, d'une fuite de données massive concernant les informations personnelles d'environ 500 000 personnes. Dès le lendemain, la CNIL a lancé des contrôles auprès de l'entreprise qui se décrit elle-même comme un leader européen et acteur mondial des solutions logicielles pour les laboratoires d'analyse médicale.

La fuite comprend des données personnelles comme le nom, prénom, numéro de sécurité sociale, date de l'examen, nom du médecin prescripteur et d'autres informations médicales ô combien sensibles de personnes frappées par le VIH, un cancer, une maladie génétique, celles en état de grossesse ou suivant un traitement médicamenteux, sans parler des données génétiques qui ont aussi été diffusées sur Internet.

La CNIL a considéré que Dedalus Biologie avait manqué à plusieurs obligations prévues par le RGPD. L'autorité reproche notamment à l'entreprise basée à Strasbourg de n'avoir pas répondu à l'obligation qui consistait pour elle à protéger les données personnelles collectées.

La CNIL a rapidement fait bloquer l'accès au site pirate qui hébergeait les données volées

Plusieurs manquements au RGPD ont abouti à la sanction de Dedalus Biologie. D'abord, l'entreprise a extrait un volume de données plus important que requis dans le cadre de la migration d'un logiciel vers un autre, demandée par deux laboratoires qui utilisaient les services de Dedalus. Ensuite, il y a évidemment le manquement à l'obligation d'assurer la sécurité des données personnelles, qui s'est matérialisé par l'absence de chiffrement des données personnelles stockées sur le serveur piraté, l'absence d'authentification pour accéder à la zone publique du serveur, l'absence d'effacement automatique des données après migration vers un autre logiciel, ou encore l'absence de procédure de supervision et de remontée d'alertes de sécurité sur le serveur. Des manquements particulièrement graves.

Rapidement, la CNIL a, en parallèle de la procédure, demandé au tribunal judiciaire de Paris, compétent en la matière, de bloquer l'accès au site sur lequel les données étaient publiées. Ce fut le cas à compter de la décision du 4 mars 2021, ce qui a limité dans le temps l'exposition des données ayant fuité.

À l'issue des contrôles et au terme des constatations, la formation restreinte de la CNIL a condamné la société Dedalus Biologie à une amende de 1,5 million d'euros, qui peut paraître faible, mais qui en réalité est assez colossale pour une fuite de données de santé. Surtout, elle correspond à environ 10 % du chiffre d'affaires 2020 de l'entreprise, en nous référant à des données publiques, ce qui témoigne de la gravité des manquements retenus par le gendarme des données.

Source : CNIL

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
gothax
J’imagine que les assurances et banques gardent bien au chaud ces données !<br /> Blague: Quand la CNIL ordonne la fermeture des sites, ils le font par fax???
max_971
N’oubliez pas de fermer votre espace de santé ouvert même si vous ne le voulez pas.
sylvio50
J’ai essayé, ça ne marche pas.<br /> Un message d’erreur apparait m’indiquant qu’il n’arrivent pas à m’identifier.
Adrien48
il y a une erreur dans votre article.<br /> Ce n’est pas l’ancien salarié qui a permet la révélation de la fuite c’est d’abord Zataz et ensuite Checknews de libération.<br /> L’ancien salarié avait signalé des failles comme l’indique la CNIL dans son rapport.
LeCray0n
Il ne faut pas se soucier d’être fiché comme des criminels. L’important c’est que les riches eux ne le soient pas. Ils vont au « privé ».<br /> Le peuple paie et n’a aucun service ou est sur des listes d’attentes; les riches eux refilent toutes leurs dépenses au « public », ne paient rien et on tous les services inimaginables dans l’immédiat.<br /> Et cerise sur le gâteau, les riches, dont font partie les politiciens, qui viennent d’ailleurs la plupart du « privé », n’ont pas leurs dossiers médicaux dans des ordinateurs.<br /> Ouf. La France est sauvée une fois de plus.<br /> Bientôt des lois obligeant le peuple à se faire poser des puces électroniques. Tout ça pour leur « bien ».<br /> Le « terrorisme » est partout.<br /> Ah oui, et on continue de couper toujours plus dans la santé « public » et de donner des « subventions » aux soins de santé « privé ». Sans compter le contingentement des médecins.<br /> Il ne faut surtout pas avoir une population en santé (ni éduquée d’ailleurs)<br /> Que c’est merveilleux le « privé »…
Voir tous les messages sur le forum

Lectures liées

Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Surfshark VPN s'offre enfin une interface sous Linux
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Une nouvelle arnaque bancaire par téléphone signalée par la DGCCRF
Ransomware : ce groupe de hackers russes est considéré comme le plus dangereux
Ce VPN à prix délirant vous fera gagner en cyberconfidentialité
Attention aux malwares cachés dans des fichiers PDF disponibles via Google
Voici les meilleurs antivirus pour un usage professionnel
Haut de page