La Commission nationale de l'informatique et des libertés (Cnil) communique aujourd'hui sur une lourde amende infligée mi-avril à la société Dedalus dans le cadre d'une affaire de fuite de données de santé.
Cette affaire avait été dévoilée en février 2021 par voie de presse. Elle concernait près d'un demi-million de Français avec la mise en ligne sur un site d'une base de données contenant des informations issues de laboratoires d'analyse médicale (nom, prénom, numéro de sécurité sociale, traitements médicamenteux, données génétiques...).
Éditeur de solutions logicielles pour des établissements de santé, Dedalus avait confirmé les cas de 28 laboratoires dans six départements (22, 27, 35, 41, 45 et 56) en évoquant un acte cybercriminel dit grave.
De multiples manquements
La Cnil a considéré que la société a manqué à plusieurs obligations prévues par le Règlement général sur la protection des données en vigueur en Europe, et en particulier l'obligation d'assurer la sécurité des données personnelles.
L'autorité française des données personnelles reproche notamment l'extraction d'un volume de données plus important que celui requis lors de la migration d'un logiciel vers un autre outil, une absence de chiffrement sur un serveur et d'authentification, un non-effacement automatique de données après migration.
À souligner qu'une enquête pour piratage informatique est toujours en cours. Les personnes impliquées dans ce piratage et la publication des données médicales n'ont pas été identifiées.
