Recevez chaque jour toute l'actualité du numérique

x

La Cnil lance des investigations sur la fuite de données d'un demi-million de patients français

A la suite d'une fuite des données de santé d'un demi-million de patients, la Cnil a décidé de lancer une série de contrôles pour vérifier que les laboratoires et la société éditrice du logiciel litigieux, Dedalus, ont bien respecté les obligations du RGPD. Aucune victime n'aurait encore été informée de la situation.
Twitter Facebook Linkedin Flipboard Email
×

La Cnil lance des investigations sur la fuite de données d'un demi-million de patients français
La Cnil lance des investigations sur la fuite de données d'un demi-million de patients français © Health Data Hub

La Commission nationale de l'informatique et des libertés (Cnil) a annoncé par voie de communiqué la lancement de contrôles pour constater "officiellement" la mise à disposition d'un fichier contenant les données de santé d'un demi-million de patients français.

D'après Libération, à l'origine de l'enquête, cette base de données proviendrait d'une trentaine de laboratoires d'analyse biologique qui utilisaient tous le même logiciel de gestion, Mega-Bus, qui n'avait pas été mis à jour depuis des années.

La Cnil rappelle l'obligation de notification
"Si les faits sont confirmés, il s'agit d'une violation de données personnelles au titre du Règlement général sur la protection des données (RGPD)", rappelle Louis Dutheillet de Lamothe, le secrétaire général de la Cnil, auprès de Libération. Par conséquent, il incombe aux organismes concernés de procéder à une notification auprès de la Cnil dans les 72 heures suivant le moment où ils en ont pris connaissance.

De plus, lorsque la fuite de données est susceptible d'engendrer un risque élevé pour les droits et libertés, ces organismes doivent informer les personnes concernées que leurs données sont compromises. En l'espèce, ces obligations incombent "a priori (…) aux laboratoires". "Pour l'instant, nous n'avons rien reçu", révèle Louis Dutheillet de Lamothe. Les entreprises contrevenantes risquent des amendes allant jusqu'à 4 % de leur chiffre d'affaires annuel mondial.

Les victimes ne sont toujours pas informées
Cédric O, secrétaire d'Etat au Numérique, a également réagi à cette fuite. "C'est très grave et c'est d'autant plus grave que cela arrive à une période où l'on voit une augmentation exponentielle des cyberattaques", a-t-il déclaré sur France 2. Il confirme que les victimes n'ont toujours pas été prévenues. "Dans les données de santé les responsables de traitement peuvent être les laboratoires, les hôpitaux, les entreprises privées. Elles ont une responsabilité de mettre en place des procédures qui évitent ce genre de problème", a-t-il ajouté.

L'entreprise Dedalus France, éditrice du logiciel litigieux, vient de publier un communiqué pour réagir aux accusations. Elle affirme que ses équipes sont "pleinement mobilisées" et qu'une "enquête approfondie" est en cours".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.