Dedalus, fournisseur de logiciels de plusieurs laboratoires, écope d‘une amende d’1,5 million d’euros suite à une fuite de données médicales. Au total, les données de 500 000 français se sont retrouvées en accès libre sur le web. Si les fuites de données sont devenues monnaies courantes, elles sont particulièrement graves dans le secteur de la santé qui est soumis à des standards bien plus élevés.

Dedalus est le leader européen en matière de solutions logicielles de santé. Il équipe de nombreux laboratoires et hôpitaux en France dont notamment l’assistance publique des hôpitaux de Paris. Dans cette affaire, les faits remontent au 23 février 2021. A cette date, la presse avait révélé qu’une base de données contenant les données médicales de 500 000 français était en accès libre sur le web. Dans ces données, on retrouvait de très nombreuses informations sur les personnes concernées : nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen et des informations médicales sensibles telles que des informations concernant une grossesse, un cancer, le VIH ou encore des maladies génétiques.

 Dedalus a rapidement été mis en cause et le gouvernement a assuré des sanctions extrêmement fortes en cas de négligence. Suite à des contrôles auprès de l'entreprise, la CNIL a saisi le tribunal judiciaire de Paris qui a ordonné le blocage du site diffusant ces informations le 4 mars 2021, limitant ainsi les dégâts. Un peu plus d’un an plus tard, la CNIL a donc rendu son verdict et a donc infligé à Dedalus une amende d’1,5 million d’euros. La Commission explique que ce montant a été défini en prenant en compte le chiffre d’affaires de l’entreprise et la gravité des manquements retenus. Dans son rapport, on apprend également que Dedalus a commis plusieurs manquements au RGPD. La CNIL a ainsi souligné l’absence de chiffrement des données personnelles stockées sur le serveur, ainsi que l’absence de procédure spécifique pour les opérations de migration de données. Elle a également relevé l’utilisation de compte utilisateurs partagés entre plusieurs salariés sur la zone privée du secteur et l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur. Par ailleurs, Dedalus n’a pas automatiquement effacé les données après la migration vers un autre logiciel, ce qui présente un risque.

A l’heure actuelle les hackers n’ont pas été identifiés. De son côté, Dedalus affirme avoir instauré de nombreux changements suite à cette affaire. Elle assure ainsi avoir déployé toutes les mesures possibles pour identifier d’éventuelles vulnérabilités et avoir travaillé à remédier aux manquements relevés par la CNIL. Et pour éviter que ce type de fuite se reproduise à l’avenir, l’entreprise déclare avoir procédé à l’amélioration de plusieurs procédures internes et externes, renforcé certaines infrastructures IT, lancé un volet important de formation interne, et recruté de nouveaux collaborateurs dans les services responsables de la cybersécurité de l’entreprise.