Affaire de la fuite de données de santé de laboratoires français
L'affaire de la fuite de données de santé de laboratoire français, ou affaire Dedalus, est une affaire de fuite de données liée à la sécurité informatique et à la protection des données de santé en France, révélée en février 2021. Elle est à l'origine d'une amende record de 1,5 million d'euros à la société Dedalus pour "manquement de sécurité ayant amené à une fuite de donnée", infligée en avril 2022.
Résumé de l'affaire
En février 2021, une enquête menée par quatre journalistes du service CheckNews du quotidien Libération révèle une affaire de fuite de données présentée comme « le plus grand piratage de données en France »[1]. L'affaire est en effet d'une ampleur inédite, tant en raison de la nature des données en circulation (données relatives à la santé des personnes), que par le nombre de patients concernés (500 000 patients) et par le fait que la base de données est disponible gratuitement sur le dark web. Un second volet de l'enquête révèle que les autorités étaient au courant de l'existence de cette fuite depuis novembre 2020[2], interrogeant sur l'inertie des pouvoirs publics.
Chronologie
La base de données a été évoquée pour la première fois le 14 février par le site Zataz[3], qui note que ces données sont partagées gratuitement et concerneraient des assurances ou des laboratoires français. L'enquête du journal Libération, publiée le 23 février[1], permet d'identifier la véritable nature de la base de données, et son origine: il s'agit de données médico-administratives renseignées sur un logiciel de laboratoires de biologie médicale nommé Mega Bus, entre 2015 et 2020. Le journal révèle le fichier a été constitué à la suite de la migration de données depuis un logiciel obsolète de l'éditeur informatique Dedalus.
À la suite de ces révélations, la CNIL indique dans un communiqué avoir ouvert une enquête[4], et le parquet se saisit de l’affaire[5]. Cédric O déclare sur France 2 que « s’il y a eu des négligences sur la protection des dossiers des patients ou leur information, les responsables pourraient être lourdement sanctionnés. »
Dans un second volet de l'enquête, paru le 27 février[2], Libération révèle plusieurs éléments nouveaux : les autorités étaient au courant de la fuite depuis plusieurs mois. En effet, selon le journal, un échantillon de la base de données était en libre accès dès novembre 2020 et l'ANSSI, au courant, a notifié un laboratoire du groupe Biogroup de la présence de données en ligne. Celui-ci aurait alors prévenu la CNIL. Toujours selon Libération, en décembre, une enquête de l'Agence du numérique en santé du ministère de la Santé avait déjà conclu que la fuite était liée à l'enregistrement d'un fichier sur un serveur non sécurisé lors d'une migration depuis le logiciel Mega Bus de l'éditeur Dedalus. Ni l'ANSSI, ni Dedalus n'ont prévenu d'autres laboratoires de ce problème pourtant identifié.
Ampleur de la fuite
Selon Libération, à partir des codes postaux figurant dans les adresses des médecins présents dans la liste, « le Morbihan est le département plus concerné : sur l’ensemble des codes postaux de médecins prescripteurs, 36% commencent par 56. Viennent ensuite le Loiret (22%) et l’Eure (plus de 20%). Suivent, assez loin derrière, les Côtes-d’Armor (6%), l’Ille-et-Vilaine (près de 6 %) et enfin le Loir-et-Cher (plus de 3%)[6]. »
Réactions à la suite des révélations
De nombreux médias font écho à cette information : le Monde, le Figaro, Ouest-France, TF1, France 2, France 5, BFM TV, l'Agence France-Presse, France Info, France Inter[7], ou encore France Culture[8] - [9]. De très nombreuses personnes présentes dans la base, dont certaines personnalités comme Hervé Morin, se déclarent choquées de découvrir leur données privées si mal protégées[1]. Des centaines de victimes ont porté plainte[10] - [11] sans suite à la date du mois d'avril 2022. Elles reçoivent toujours "une multitude de messages mal intentionnés" : "propositions de formations véreuses, fausses convocations de la gendarmerie pour des méfaits fictifs ou encore des mutuelles peu scrupuleuses, les exemples sont nombreux. Plusieurs membres du groupe témoignent avoir été piratées, d’autres évoquent même des usurpations d’identités."[12] L’encadrement très complexe de ces procédures "rend leur aboutissement difficile"[12].
Enquête des pouvoirs publics et amende record
Le , la CNIL a annoncé[13] une amende de 1,5 million d'euros à l'encontre de la société Dedalus Biologie. Il s'agit de l'amende la plus importante en France pour « manquement de sécurité ayant amené à une fuite de données »[11].
Le rapport[14] indique que la société a eu de nombreux manquements RPGD et le lourdeur de l'amende a pris un compte que la société avait déjà eu des alertes[11], de l'ANSSI d'une part et d'un ancien employé de Dedalus Biologie d'autre part[15].
Articles connexes
- Fuite de données
- Cybersécurité
- CNIL
- Groupe Dedalus (informatique)
Références
- Fabien Leboucq et Florian Gouthière, « Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne », sur Libération (consulté le )
- Florian Gouthière et Alexandre Horn, « Fuite de données de santé de 500 000 patients : les retards et les ratés des autorités », sur Libération (consulté le )
- « ZATAZ » Plus de 400.000 données de patients français vendus dans le blackmarket » (consulté le )
- « Violation de données de santé : la CNIL rappelle les obligations des organismes à la suite d’une fuite de données massive annoncée dans les médias | CNIL », sur www.cnil.fr (consulté le )
- Par Louis Adam | Modifié le vendredi 26 févr 2021 à 11:59, « Fuite de données de santé : Les autorités s’en mêlent », sur ZDNet France (consulté le )
- Fabien Leboucq, « Fuite de données médico-administratives : quels sont les départements les plus touchés ? », sur Libération (consulté le )
- « Piratage informatique : ce que l'on sait de la fuite de données médicales de près de 500 000 patients français », sur Franceinfo, (consulté le )
- « Fuite massive de données médicales : "C’est extrêmement rare en France", d'après un chercheur en cybersécurité », sur France Culture, (consulté le )
- « Santé : fuite des données de 500 000 patients », sur France Culture (consulté le )
- Fabien Leboucq, « Déjà plusieurs centaines de plaintes de patients victimes de la fuite de données de santé », sur Libération (consulté le )
- Alexandre Horn, « Fuite de données médicales de 500 000 patients: la Cnil inflige une amende record de 1,5 million d’euros à Dedalus », sur Libération (consulté le )
- Alexandre Horn, « Les 500 000 victimes de la fuite de données de santé seront-elles indemnisées par Dedalus? », sur Libération (consulté le )
- « Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE | CNIL », sur www.cnil.fr (consulté le )
- Commission Nationale de l’Informatique et des Libertés, « Délibération SAN-2022-009 du 15 avril 2022 », sur Legifrance
- Jean-Marc Manach, « Un « leader européen » des données de santé licencie un lanceur d'alerte pour « faute grave » », sur www.nextinpact.com, (consulté le )