Fuite massive de données médicales : la Cnil inflige une amende de 1,5 million d'euros à Dedalus
Dedalus Biologie écope d'une amende de 1,5 million d'euros suite à un contrôle de la Cnil. L'organisme a été saisi suite à la publication dans la presse d'articles relatant une fuite de données médicales. Dedalus Biologie édite le logiciel utilisé par les 28 laboratoires d'où proviennent les données.
1,5 million d'euros. C'est le montant de l'amende prononcée le 21 avril 2022 par la Cnil à l'encontre de la société Dedalus Biologie dont le logiciel est à l'origine d'une fuite massive de données. Des informations médicales concernant 491 840 personnes avaient été retrouvées en libre accès sur Internet, comme l'a rapporté la presse en février 2021.
28 laboratoires médicaux
"Nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) de ces personnes ont ainsi été diffusés sur internet", écrit la Cnil.
Ces données proviennent de 28 laboratoires médicas situés, pour la plupart, dans les départements du Morbihan, de l'Eure, de la Loire, des Côtes-d'Armor et dans une moindre mesure du Loir-et-Cher. Les dates de prélèvements s'étalent de 2015 à octobre 2020. Ces laboratoires ont en commun d'utiliser le logiciel Mega-Bus commercialisé par la société Dedalus Biologie à des fins de gestion des données de biologie. Ce logiciel, qui n'est plus à jour, a été progressivement abandonné par les laboratoires.
Assurer la sécurité des données personnelles
Si Dedalus ne se déclarait pas responsable de cet incident au moment où les faits ont été rapportés dans la presse, la Cnil conclut néanmoins à plusieurs manquements de la société. Elle n'a notamment pas respecté les instructions données lors de la migration de deux laboratoires vers un autre outil, qui a collecté un volume de données plus important que celui demandé.
La Cnil lui reproche d'autres manquements "à l'obligation d'assurer la sécurité des données personnelles" : absence de procédure spécifique dans le cadre des opérations de migration de données ; absence de chiffrement des données personnelles stockées sur le serveur problématique ; absence d'effacement automatique des données après migration vers l'autre logiciel ; absence d'authentification requise depuis internet pour accéder à la zone publique du serveur ; utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ; absence de procédure de supervision et de remontée d'alertes de sécurité sur le serveur.
Multiplication des fuites de données
La Cnil a également été saisie d'une autre affaire de ce type. En mars 2022, l'Assurance maladie a déposé plainte après la découverte d'une fuite de données personnelles touchant 510 000 assurés. Aucune donnée relative aux pathologies n'a été récupérée par les hackers, qui ont toutefois obtenu les noms, prénoms, date de naissance, sexe, numéros de sécurité sociale, déclaration du médecin traitant et attribution de la complémentaire santé solidaire ou de l'aide médicale d'Etat.
Les fuites de données dans le secteur de la santé se multiplient. 700 000 résultats de tests Covid ont été exposés en raison d'une faille de sécurité sur la plateforme Francetest. L'Assistance publique - Hôpitaux de Paris (AP-HP) a été victime d'un vol de données personnelles concernant 1,4 million de personnes. Un homme de 22 ans a été interpellé et placé sous contrôle judiciaire dans le cadre de cette affaire.
SUR LE MÊME SUJET
Fuite massive de données médicales : la Cnil inflige une amende de 1,5 million d'euros à Dedalus
Tous les champs sont obligatoires
0Commentaire
Réagir