Fuite de données médicales : 28 laboratoires concernés dans 6 départements

Laboratoire
Six départements des régions de l'ouest de la France sont concernés par ces fuites. © NOEL CELIS / AFP
  • Copié
avec AFP , modifié à
L'éditeur de logiciels Dedalus France a fait un point sur la fuite de données médicales qui a touché près de 500.000 personnes en France, et pour laquelle une enquête judiciaire a été ouverte. Vingt-huit laboratoires ont été identifiés comme étant victimes de ces fuites, essentiellement dans l'ouest de la France.

L'éditeur de logiciels pour les établissements de santé Dedalus France a indiqué vendredi avoir identifié parmi ses clients 28 laboratoires concernés par la fuite de données médicales qui a touché près de 500.000 personnes en France. "Dedalus France confirme investiguer sur un grave acte de cybercriminalité ayant conduit à la violation de données de certains de ses clients laboratoires", a indiqué l'entreprise dans un communiqué.

La société dit avoir informé ces laboratoires, répartis dans 6 départements des régions Bretagne, Centre-Val-de-Loire et Normandie, et "coopère avec les autorités compétentes afin de déterminer les sources de cette cyberattaque". L'AFP avait pu constater mardi qu'un fichier comportant 491.840 noms, associés à des coordonnées (adresse postale, téléphone, email) et un numéro d'immatriculation à la sécurité sociale, circulait librement sur au moins un forum référencé par des moteurs de recherche.

Une période de cinq ans

Ces noms étaient parfois accompagnés d'indications sur le groupe sanguin, le médecin traitant ou la mutuelle, de mots de passe, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse), des traitements médicamenteux ou des pathologies (notamment le VIH). Selon la rubrique de vérification Checknews du quotidien Libération, qui a enquêté sur le sujet, les données correspondent à des prélèvements effectués entre 2015 et octobre 2020.

"La fuite de données est en cours d'investigation par l'Agence nationale de la sécurité des systèmes d'information (Anssi), le Ministère des Solidarités et de la Santé, en lien avec la Cnil et l'éditeur de logiciel, dont il est suspecté que des anciennes installations de sa solution de gestion de laboratoire soient impliquées", a indiqué mercredi soir à l'AFP la Direction générale de la santé.

Enquête judiciaire

Une enquête judiciaire a été ouverte le même jour et confiée à la section cybercriminalité du parquet de Paris, du chef d'"accès et maintien frauduleux dans un système de traitement automatisé de données" et "extraction, détention et transmission frauduleuse" de ces données.

La Cnil, gendarme des données personnelles, n'avait cependant pas été notifiée jusqu'à mercredi d'une violation de données d'une telle ampleur, comme cela est requis dans un délai de 72 heures par le règlement européen sur la protection des données (RGPD). Le RGPD prévoit pour ce type d'incidents des sanctions pouvant atteindre 4% du chiffre d'affaires. En cas de risque élevé pour les droits et libertés des personnes physiques, les entreprises responsables doivent également notifier individuellement les victimes de la fuite.