Nom du patient et du médecin prescripteur, numéro de Sécu, date de l’examen mais surtout informations médicales… Les données sensibles de 500 000 patients, issues de laboratoires de biologie médicale, avaient fuité en février 2021. Un an plus tard, le gendarme des données personnelles, la Cnil, a infligé une amende de 1,5 million d'euros à l'éditeur de logiciels Dedalus, en cause dans ce scandale. « Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d'affaires de la société Dedalus Biologie », indique la Cnil, le 21 avril.
Les données, accessibles en un clic sur les moteurs de recherche, comprenaient notamment des informations précises sur la santé des patients : VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le malade, ou encore des données génétiques. Dans un communiqué distinct, Dedalus n'a pas cherché à nier les manquements relevés par la Cnil et assuré avoir pris « toutes les mesures possibles » pour « identifier d'éventuelles vulnérabilités » dans ses systèmes, et « renforcé » ses procédures pour éviter que les fuites ne se reproduisent.
491 840 noms
La fuite avait été révélée notamment par le quotidien « Libération » et le blog spécialisé en cybersécurité Zataz en février 2021. Un fichier comportant 491 840 noms circulait librement sur au moins un forum référencé par des moteurs de recherche, avait constaté l'AFP à l'époque.
La fuite de données concernait alors 28 laboratoires dans 6 départements des régions Bretagne, Centre-Val de Loire et Normandie, selon des informations données à l'époque par Dedalus. Des militaires français, dont des membres des services de renseignement extérieur, avaient même été concernés par ce piratage.
Selon la Cnil, Dedalus s'est rendu coupable de « nombreux manquements techniques et organisationnels en matière de sécurité » dans le cadre « d'opérations de migration » d'un logiciel vers un autre. Parmi les manquements retenus, le régulateur cite « l'absence de chiffrement des données personnelles sur le serveur problématique » et « l'absence d'authentification requise » pour « accéder à la zone publique du serveur » depuis internet. Elle mentionne également « l'utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ».
À la suite de la révélation, le tribunal judiciaire de Paris avait ordonné aux grands fournisseurs d'accès internet français - Orange, Free, SFR et Bouygues - le blocage d'un site sur lequel étaient publiées les données volées. Une enquête judiciaire avait également été confiée à la section cybercriminalité du parquet de Paris.
Le fichier circulerait toujours
Les victimes de cette fuite s’exposent notamment aux risques d’attaques de « phishing » : le pirate utilise les données personnelles pour susciter la confiance de la victime et lui extorquer des mots de passe.
Un an après, les données piratées circuleraient pourtant encore sur le web. « J'ai encore revu la base de données volée il y a quelques semaines », explique Damien Bancal, le responsable du blog Zataz. « Elle était proposée gratuitement par un groupe de pirates qui l'utilisait pour faire la promotion de leurs propres services », indique-t-il. Au départ de l'affaire, Damien Bancal avait découvert la fuite sur un groupe Telegram, où un pirate proposait le fichier à la vente.
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes