L’entreprise Dedalus condamnée à 1,5 million d’euros d’amende

Une fuite de données médicales qui avait fait grand bruit dans la presse et les chaumières. Le 23 février 2021, une divulgation d’informations massive concernant près de 500 000 personnes a été révélée dans les médias, qui mettait en cause la société Dedalus. La CNIL avait annoncé dès le lendemain mercredi 24 février 2021 qu’elle avait lancé une enquête pour savoir si les établissements (dont les données ont été volées) ont manqué à leurs obligations. Elle vient d’aboutir à la délibération le 15 avril 2022 à 1,5 million d’euros d’amende.

Une sanction qui ramène le sujet peu abordé lors du débat de l’entre-deux tours de l’élection présidentielle entre Marine Le Pen (RN) et Emmanuel Macron (LaREM) candidat à sa succession, de la sécurité réelle de nos données. Le règlement général de protections des données (RGPD), en plus de prodiguer des consignes de sécurisation des données, impose aux entreprises ayant subi une violation de leurs données de le signaler. Or la Commission nationale informatique et libertés (CNIL) déclarait ne pas en avoir été avertie. Plus inquiétant, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avait communiqué mercredi 24 février 2021, avoir identifié l’origine de cette fuite de données dès le mois de novembre 2020, et prévenu le ministre des Solidarités et de la Santé, Olivier Véran.

Une année après la fuite, c’est 510 000 Françaises et Français qui sont à nouveau impactés par le même type d’incident informatique. Cette fois issue directement l’Assurance Maladie. Elle adressait une notification à la CNIL le 16 mars 2022 et déposait une plainte au pénal. (Crédits : capture d’écran)

Lesdites informations étaient les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen, mais pas seulement. Plus dommageables pour les personnes elles-mêmes, des informations médicales à savoir si les patients sont atteints par le VIH, cancer, maladies génétiques, en situation de grossesses, les traitements médicamenteux suivis par le patient, ou encore des données génétiques ont ainsi été diffusées sur internet.

De nombreux manquements techniques et organisationnels en matière de sécurité ont été retenus à l’encontre de la société Dedalus Biologie dans le cadre des opérations de migration du logiciel vers un autre :

  • absence de procédure spécifique pour les opérations de migration de données
  • absence de chiffrement des données personnelles stockées sur le serveur problématique
  • absence d’effacement automatique des données après migration vers l’autre logiciel
  • absence d’authentification requise depuis internet pour accéder à la zone publique du serveur
  • utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur
  • absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur

« Cette absence de mesures de sécurité satisfaisantes est l’une des causes de la violation de données qui a compromis les données médico-administratives de près de 500 000 personnes. Un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD) », martèle la CNIL. Les articles 29 et 32 font également partie des manquements. Quand les opérateurs utilisant les Ransomware-a-as-Service attaquent des entreprises, tel Conti avec la cyberattaque subie par le Costa Rica, il faut souhaiter que l’exemple de Dedalus servent aux entités privées et publiques pour protégé, à défaut de retarder voire décourager les opérateurs malveillants de voler vos données comme les miennes.

Elise Dardut

Épicurienne, je reste une jeune femme à l’aise dans son corps et dans sa tête. Je pense par moi-même, j’agis par moi-même, j’entends les conseils et n’écoute que mon intuition. « Le jour où l’homme aura la malice, la finesse et la subtilité de la femme, il sera le roi du monde… mais ce n’est pas pour demain », me chantait mon grand-père. Il m’a appris que « les seuls beaux yeux sont ceux qui vous regardent avec tendresse. » (Coco Chanel) Depuis, je m’évertue, pour qui veut bien entendre et écouter, à distiller des graines ici et là, au gré du vent. Un proverbe indien explique que « si vous enseignez à un homme, vous enseignez à une personne. Si vous enseignez à une femme, vous enseignez à toute la famille » Il est temps d’inverser les rôles et admettre l’équité, non ?

Une réflexion sur “L’entreprise Dedalus condamnée à 1,5 million d’euros d’amende

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.