Annoncée par la CNIL (Commission nationale de l‘informatique et des libertés), la divulgation de données concerne un demi-million de Français. L’entreprise responsable de cette fuite sans précédent, Dedalus Biologie, a été condamnée à payer une lourde amende qui s’élève à 1.5 millions d’euros.
Données médicales publiées sur un forum
En février 2021, un internaute a publié sur un forum de discussions une base de données contenant l’historique médical de 500 000 Français. Leur nom et prénom, adresse postale et numéro de téléphone étaient parmi les informations divulguées. Des informations médicales faisaient aussi partie des données publiées : on y retrouve le groupe sanguin et le numéro de sécurité sociale des patients mais aussi des informations relatives « au VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques », précise la CNIL.
La source de la fuite a été rapidement identifiée : le document provenait d’un logiciel commercialisé auprès de laboratoires par la société Dedalus Biologie. La CNIL a tout de suite ouvert une enquête et a audité l’entreprise pour rechercher d’autres manquements éventuels.
Infraction à la RGPD
Selon la CNIL l’entreprise est responsable d’importantes infractions vis-à-vis du Règlement général sur la protection des données. De « nombreux manquements techniques et organisationnels en matière de sécurité » ont été reprochés à Dedalus Biologie et en particulier « l’absence de chiffrement » et « l’absence d’effacement automatique des données après [leur] migration ».
La CNIL accuse également la société d’avoir outrepassé les demandes des laboratoires médicaux, lors « de la migration d’un logiciel vers un autre outil », en extrayant « un volume de données plus important que celui requis ».
Responsable de la mise en ligne non identifié
Le responsable du piratage et de la mise en ligne des données n’a pas encore été identifié. Il est possible que ces données aient été d’abord proposées à la vente sur des forums spécialisés et que leur publication en libre accès a été le résultat d’un conflit avec un acheteur.
Le parquet de Paris a ouvert une enquête pour piratage informatique et l’a confiée à l’unité de police spécialisée dans la lutte contre la cybercriminalité.
Source : Le Monde