Fuite de données médicales : la CNIL condamne Dedalus à une amende de 1,5 million d’euros

Fuite de données médicales : la CNIL condamne Dedalus à une amende de 1,5 million d’euros

Suite à une fuite de données médicales touchant près de 500 000 personnes, la CNIL condamne l’éditeur de logiciels Dedalus à une amende de 1,5 million d’euros. Le régulateur français évoque des lacunes dans le cadre de la sécurisation des données lors de leur migration. 

Des données sensibles mises en ligne

Au mois de février 2021, la presse révèle une fuite massive de données médicales. Un fichier répertoriant 491 840 personnes en France a été publié en ligne. Chaque nom est associé à des données médicales parfois sensibles. 

Pour certaines personnes, les informations d’identification (nom, prénom et coordonnées) sont parfois accompagnées de données médicales : groupe sanguin, numéro de sécurité sociale, médecin traitant, assurance maladie, traitements médicaux, maladies, grossesse …

Les données, datant de 2015 à 2020, auraient été volées à un peu moins d’une trentaine de laboratoires situés dans le nord-ouest de la France. Les hackers ont publié le fichier en ligne, sur plusieurs forums. Les données étaient initialement destinées à la vente. La publication fait suite à un désaccord entre les pirates. 

L’éditeur de logiciel Dedalus pointé du doigt

Fuite de données médicales : la CNIL condamne Dedalus à une amende de 1,5 million d’euros

Tous les laboratoires concernés utilisent un logiciel de Dedalus. Il s’agit d’une entreprise éditrice de logiciels applicatifs pour les laboratoires d’analyses biomédicales. Suite aux violations de données, la CNIL a mené l’enquête.  

Le régulateur a observé un manquement dans le cadre des transferts des données : Dedalus a déplacé un volume plus important que nécessaire. La CNIL révèle également d’autres lacunes techniques comme l’absence de cryptage, de suppression automatique des données après la migration ou encore d’authentification à l’accès à un serveur public.

Durant la migration des données,  Dedalus Biologie utilise par ailleurs des comptes partagés entre plusieurs collaborateurs sur la zone privée du serveur. La CNIL a également souligné l’absence de procédures de supervision et de remontée d’alertes de sécurité sur le serveur.

Une amende à la hauteur des préjudices

Suite à ses observations, la CNIL considère que l’éditeur de logiciel Dedalus n’a pas suffisamment protégé les données traitées. Par ailleurs, compte tenu du caractère sensible des données, la violation est particulièrement préjudiciable pour les personnes concernées.

Le 15 avril dernier, la Commission nationale de l’informatique et des libertés prend sa décision qui sanctionne Dedalus d’une amende de 1,5 million d’euros. La société est condamnée pour avoir violé les articles 28, 29 et 32 du RGPD. La décision a été publiée le 21 avril.

En réponse, Dedalus affirme vouloir se conformer au RGPD en renforçant ses infrastructures informatiques puis en améliorant ses procédures internes et externes. La société annonce également vouloir renforcer la main d’œuvre de sécurité en nommant entre autres des DPO et des responsables supplémentaires pour les services informatiques.

Trouvez un logiciel de protection parmi notre top des meilleurs antivirus pour vous protéger de tout type de cybermenace.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest