Violation des données médicales de 500 000 Français : l’entreprise Dedalus condamnée à 1,5 million d’euros d’amende par la Cnil

Laisser un commentaire / La protection des données, Les actualités / Par

1️⃣ une attaque 🏴‍☠️ contre l’Assurance maladie a permis à des pirates de dérober les informations personnelles de 500 000 bénéficiaires ;

2️⃣ les hacker ont récupéré les identifiants et mots de passe des professionnels de santé sur le darkweb et procédé des interrogations en chaîne sur le service Infopatient ;

3️⃣ sauf exceptions prévues par l’article 9 du RGPD 🇪🇺, les traitements portant sur des catégories particulières de données à caractère personnel (dont les données de santé) sont interdits 🛑 ;

4️⃣ l’attaque a été notifiée 📢 à la Cnil le 16.03.2022

5️⃣ l’Assurance maladie a également communiqué sur cette violation le 17.03.2022 ;

6️⃣ la source de la fuite a été identifiée comme provenant d’un logiciel commercialisé auprès de laboratoires par la société Dedalus Biologie ;

7️⃣ le 21.04.2022, la Cnil a condamné l’entreprise Dedalus à une amende d’1,5 million d’💶 en considérant un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD) ;

de plus les conditions générales de vente proposées par la société Dedalus Biologie et les contrats de maintenance ne contiennent pas les mentions prévues par l’article 28-3 du RGPD : on peut néanmoins s’étonner que ce manquement n’incombe pas également aux Responsables du Traitement (les Laboratoires) ;

8️⃣ on retrouve parmi les importants manquements techniques et organisationnels en matière de sécurité qui ont conduit à la fuite de données :

  • absence de procédure spécifique pour les opérations de migration de données ;
  • absence de chiffrement des données personnelles stockées sur le serveur problématique ;
  • absence d’effacement automatique des données après migration vers l’autre logiciel ;
  • absence d’authentification requise depuis internet pour accéder à la zone publique du serveur ;
  • utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ;
  • absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

9️⃣ le parquet de Paris a ouvert une enquête pour piratage informatique : celle-ci a été confiée à la SDLC ;

🔟 l’objectif est d’identifier et de sanctionner le ou les responsables du piratage et de la mise en ligne des données.

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368?init=true&page=1&query=san-2022-009&searchField=ALL&tab_selection=all

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Secured By miniOrange