C’est l’une des plus grosses fuites de données médicales en France. Les données de près d’un demi-million de personnes se retrouvent dans la nature pour des raisons encore non élucidées, mais de nouvelles informations ont été révélées ce vendredi. L’éditeur de logiciels pour les établissements de santé Dedalus France a indiqué avoir identifié parmi ses clients 28 laboratoires concernés par cette fuite de données. Ces établissements sont répartis dans six départements : les Côte-d’Armor, l’ Eure, l’ Ille-et-Vilaine, le Loir-et-Cher, le Loiret et le Morbihan.

« Dedalus France confirme investiguer sur un grave acte de cybercriminalité ayant conduit à la violation de données de certains de ses clients laboratoires », indique l’entreprise dans son communiqué. La société a informé les laboratoires et « coopère avec les autorités compétentes afin de déterminer les sources de cette cyberattaque. »

Un gigantesque fichier sur Internet

L’AFP avait pu constater mardi qu’un fichier comportant 491.840 noms, associés à des coordonnées (adresse postale, téléphone, e-mail) et un numéro d’immatriculation à la Sécurité sociale, circulait librement sur au moins un forum référencé par des moteurs de recherche.

Ces noms étaient parfois accompagnés d’indications sur le groupe sanguin, le médecin traitant ou la mutuelle, de mots de passe, ou encore de commentaires sur l’état de santé (dont une éventuelle grossesse), des traitements médicamenteux ou des pathologies (notamment le VIH).

Des données collectées entre 2015 et 2020

Selon la rubrique de vérification Checknews du quotidien Libération, qui a enquêté sur le sujet, les données correspondent à des prélèvements effectués entre 2015 et octobre 2020.

« La fuite de données est en cours d’investigation par l’Agence nationale de la sécurité des systèmes d’information (Anssi), le Ministère des Solidarités et de la Santé, en lien avec la Cnil et l’éditeur de logiciel, dont il est suspecté que des anciennes installations de sa solution de gestion de laboratoire soient impliquées », a indiqué mercredi soir la Direction générale de la santé.

Ouverture d’une enquête

Une enquête judiciaire a été ouverte le même jour et confiée à la section cybercriminalité du parquet de Paris, du chef d'« accès et maintien frauduleux dans un système de traitement automatisé de données » et « extraction, détention et transmission frauduleuse » de ces données.

La Cnil, gendarme des données personnelles, n’avait cependant pas été notifiée jusqu’à mercredi d’une violation de données d’une telle ampleur, comme cela est requis dans un délai de soixante-douze heures par le règlement européen sur la protection des données (RGPD).

Le RGPD prévoit pour ce type d’incidents des sanctions pouvant atteindre 4 % du chiffre d’affaires. En cas de risque élevé pour les droits et libertés des personnes physiques, les entreprises responsables doivent également notifier individuellement les victimes de la fuite.