Fuite de données médicales : 1,5 M d’euros d’amende pour l’éditeur de logiciel Dedalus

SANCTIONS La fuite massive de données, parfois sensibles, avait concerné près de 500.000 personnes

20 Minutes avec AFP
— 
Un chercheur pointe du doigt un écran d'ordinateur.
Un chercheur pointe du doigt un écran d'ordinateur. — Christophe ARCHAMBAULT / AFP

La Cnil a infligé une amende de 1,5 million d’euros à l’éditeur de logiciel Dedalus après une fuite massive de données, parfois sensibles, dans des laboratoires d’analyse médicale, qui avait concerné près de 500.000 personnes, a-t-elle indiqué jeudi.

Une amende symbolique

« Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société Dedalus Biologie », a indiqué ce jeudi le gendarme des données personnelles dans un communiqué.

Les données accessibles comprenaient « les noms, prénom, numéro de Sécurité sociale, nom du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) », a rappelé la Cnil dans son communiqué.

Une révélation de Libération

La fuite avait été révélée notamment par le quotidien Libération et le blog spécialisé de cybersécurité Zataz en février 2021. Un fichier comportant 491.840 noms circulait librement sur au moins un forum référencé par des moteurs de recherche.

Dedalus s’est rendu coupable de « nombreux manquements techniques et organisationnels en matière de sécurité » dans le cadre « d’opérations de migration » d’un logiciel vers un autre, a indiqué la Cnil dans son communiqué.

28 laboratoires concernés

Parmi les manquements retenus, la Cnil cite notamment « l’absence de chiffrement des données personnelles sur le serveur problématique », et « l’absence d’authentification requise » pour « accéder à la zone publique du serveur » depuis Internet.

La fuite de données avait concerné 28 laboratoires dans 6 départements des régions Bretagne, Centre-Val-de-Loire et Normandie, selon des informations données à l’époque par Dedalus. L’armée française, y compris certains membres des services de renseignement extérieur, avait également été concernée par ce piratage, avait indiqué à l’époque le site spécialisé Intelligence Online.