Vannes. Une amende d'1,5 million d'euros après la fuite de données médicales

À Vannes, Océalab faisait partie des laboratoires français concernés par la fuite de 500 000 dossiers médicaux. L'éditeur du logiciel vient d'écoper d'une amende dépassant le million d'euros.

Société
De la vie quotidienne aux grands enjeux, découvrez les sujets qui font la société locale, comme la justice, l’éducation, la santé et la famille.
France Télévisions utilise votre adresse e-mail afin de vous envoyer la newsletter "Société". Vous pouvez vous désinscrire à tout moment via le lien en bas de cette newsletter. Notre politique de confidentialité

La Cnil a infligé une amende de 1,5 million d'euros à l'éditeur de logiciel Dedalus après une fuite massive de données, parfois sensibles, dans des laboratoires d'analyse médicale, qui avait concerné près de 500.000 personnes, a-t-elle indiqué jeudi.

Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d'affaires de la société Dedalus Biologie

La CNIL

Les données accessibles comprenaient "les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l'examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques)", a rappelé la Cnil dans son communiqué.


La fuite avait été révélée notamment par le quotidien Liberation et le blog spécialisé de cybersécurité Zataz en février 2021.

Un fichier comportant 491.840 noms circulait librement sur au moins un forum référencé par des moteurs de recherche, selon les constatations faites par l'AFP à l'époque.


Dedalus s'est rendu coupable de "nombreux manquements techniques et organisationnels en matière de sécurité" dans le cadre "d'opérations de migration" d'un logiciel vers un autre, a indiqué la Cnil dans son communiqué.
Parmi les manquements retenus, la Cnil cite notamment "l'absence de chiffrement des données personnelles sur le serveur problématique", et "l'absence d'authentification requise" pour "accéder à la zone publique du serveur" depuis internet.
Elle mentionne également "l'utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur".


La fuite de données avait concerné 28 laboratoires dans 6 départements des régions Bretagne, Centre-Val-de-Loire et Normandie, selon des informations données à l'époque par Dedalus.


L'armée française, y compris certains membres des services de renseignement extérieur, avaient également été concernés par ce piratage, avait indiqué à l'époque le site spécialisé Intelligence Online.


A la suite de la révélation de la circulation des données, le tribunal judiciaire de Paris avait ordonné aux grands fournisseurs d'accès à internet français - Orange, Free, SFR et Bouygues - le blocage d'un site sur lequel était publié les données ayant fuité.
Une enquête judiciaire avait également été confiée à la section cybercriminalité du parquet de Paris.

Tous les jours, recevez l’actualité de votre région par newsletter.
Tous les jours, recevez l’actualité de votre région par newsletter.
Veuillez choisir une région
France Télévisions utilise votre adresse e-mail pour vous envoyer la newsletter de votre région. Vous pouvez vous désabonner à tout moment via le lien en bas de ces newsletters. Notre politique de confidentialité
Je veux en savoir plus sur
le sujet
Veuillez choisir une région
en region
Veuillez choisir une région
sélectionner une région ou un sujet pour confirmer
Toute l'information