La Cnil lance des investigations sur la fuite de données d'un demi-million de patients français

A la suite d'une fuite des données de santé d'un demi-million de patients, la Cnil a décidé de lancer une série de contrôles pour vérifier que les laboratoires et la société éditrice du logiciel litigieux, Dedalus, ont bien respecté les obligations du RGPD. Aucune victime n'aurait encore été informée de la situation.

Partager
La Cnil lance des investigations sur la fuite de données d'un demi-million de patients français

La Commission nationale de l'informatique et des libertés (Cnil) a annoncé par voie de communiqué la lancement de contrôles pour constater "officiellement" la mise à disposition d'un fichier contenant les données de santé d'un demi-million de patients français.

D'après Libération, à l'origine de l'enquête, cette base de données proviendrait d'une trentaine de laboratoires d'analyse biologique qui utilisaient tous le même logiciel de gestion, Mega-Bus, qui n'avait pas été mis à jour depuis des années.

La Cnil rappelle l'obligation de notification
"Si les faits sont confirmés, il s'agit d'une violation de données personnelles au titre du Règlement général sur la protection des données (RGPD)", rappelle Louis Dutheillet de Lamothe, le secrétaire général de la Cnil, auprès de Libération. Par conséquent, il incombe aux organismes concernés de procéder à une notification auprès de la Cnil dans les 72 heures suivant le moment où ils en ont pris connaissance.

De plus, lorsque la fuite de données est susceptible d'engendrer un risque élevé pour les droits et libertés, ces organismes doivent informer les personnes concernées que leurs données sont compromises. En l'espèce, ces obligations incombent "a priori (…) aux laboratoires". "Pour l'instant, nous n'avons rien reçu", révèle Louis Dutheillet de Lamothe. Les entreprises contrevenantes risquent des amendes allant jusqu'à 4 % de leur chiffre d'affaires annuel mondial.

Les victimes ne sont toujours pas informées
Cédric O, secrétaire d'Etat au Numérique, a également réagi à cette fuite. "C'est très grave et c'est d'autant plus grave que cela arrive à une période où l'on voit une augmentation exponentielle des cyberattaques", a-t-il déclaré sur France 2. Il confirme que les victimes n'ont toujours pas été prévenues. "Dans les données de santé les responsables de traitement peuvent être les laboratoires, les hôpitaux, les entreprises privées. Elles ont une responsabilité de mettre en place des procédures qui évitent ce genre de problème", a-t-il ajouté.

L'entreprise Dedalus France, éditrice du logiciel litigieux, vient de publier un communiqué pour réagir aux accusations. Elle affirme que ses équipes sont "pleinement mobilisées" et qu'une "enquête approfondie" est en cours".

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS