Fuite de données de santé, une amende de 1,5 M€.
Le site d’investigation Zataz et le journal Libération annonçaient en février 2021 une fuite de données de santé massive provenant de laboratoire d’analyse médicale. Cette fuite a eu lieu à travers le logiciel fourni par la société Dedalus Biologie.
Les mesures d’hygiène informatique basiques n’ont pas été suivies pendant une migration de solution logicielle, les données de patients ont été extraites par les salariées et laissés accessible depuis =i=nternet sans chiffrement, effacement automatique, supervision des accès, sans authentification sur la partie publique, avec des identifiants (et mots de passe) partagés entre utilisateurs pour la partie privée.
Ces défaillances ont permis à un pirate informatique d’extraire la base de 500 000 patients et de les vendre sur i=nternet. La =cnil sanctionne aujourd’hui ces manquements et la responsabilité de l’éditeur dans cette fuite par une amendre de 1,5 =m=€.
Des zones d’ombres subsistent (réaction tardive des autorités, réponse « peu coopérative » de l’éditeur, indemnisation des patients…) mais cette amende est un rappel net de la responsabilité des hébergeurs de données, notamment des données considérées sensibles dans la tradition française (la sensibilité des données est un élément culturel, différente notamment dans les usages anglo-saxons).
Sources
- Annonce cnil
- Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE
- Site d’investigation Zataz
- Amende CNIL : 1,5 million d’euros à l’éditeur de logiciel Dedalus
- Journal Libération — Checknews
- Fuite de données médicales de 500 000 patients: la Cnil inflige une amende record de 1,5 million d’euros à Dedalus