Le 21 avril 2022, la Commission nationale de l’informatique et des libertés de France (Cnil) a condamné la société Dedalus Biologie, à une amende d’un million et demi d’euros à la suite d’une fuite de données médicales de près de 500 000 personnes. Dedalus commercialise des solutions logicielles pour des laboratoires d’analyse médicale, mais la sécurité des données ne semble pas la priorité de ses dirigeants.
L’histoire remonte au 25 mars 2020. Un développeur web de 28 ans de la société Dedalus Biologie fait remonter à son employeur des problèmes de sécurité. Quelle est la décision immédiate des patrons de l’entreprise ? Renforcer la sécurité informatique ? Vous n’y êtes pas ! Ils virent tout simplement le lanceur d’alerte pour faute grave (donc sans indemnités). Pourtant, selon le rapporteur de la Cnil, « il est établi que celui-ci avait bel et bien effectué des signalements pertinents, ce qui ressort d’échanges internes entre […]. » Le nom des responsables n’est pas indiqué par la Cnil. Dommage.
Le 4 novembre 2020, malgré l’alerte de mars : « l’Agence nationale de la sécurité des systèmes d’information a observé que des données de patients du laboratoire […] étaient mises en vente sur le darknet, sous-réseau d’Internet pourvu de fonctions d’anonymisation et dans lequel toutes les ressources ne sont pas nécessairement indexées par les moteurs de recherche. L’ANSSI a transmis au laboratoire concerné un fichier contenant 56 lignes avec des données à caractère personnel de ses patients. Le jour même, le fichier ainsi que le courriel de l’ANSSI ont été transmis à la société Dedalus Biologie par le directeur des systèmes d’information du réseau […], au sein duquel figure le laboratoire […]. »
Dedalus France n’ayant pas amélioré la sécurité de son système, l’inévitable finit par se produire : le 23 février 2021, un fichier contenant les données médico-administratives de près de 500 000 personnes est divulgué sur des forums.
Le 24 février 2021, sans perdre de temps, la Cnil effectue plusieurs contrôles, notamment chez Dedalus Biologie, et bloque, dans la foulée, le lien qui permettait de télécharger le fichier malveillant. Un blocage qui touche également l’intégralité du site qui hébergeait le fichier.
L’assurance maladie fait la promotion de l’informatisation des données médicales : « Garantir la dématérialisation de vos échanges de données avec l’Assurance maladie ». Le 31 mai 2021, malgré la méga fuite de données d’un demi-million d’assurés sur Internet du 23 février 2021, Thomas Fatome, directeur général de l’Assurance maladie, fait l’éloge de son bébé, Mon Espace Santé, bref de l’informatisation des données des assurés. Donc, foin des risques et des scandales, début 2022, intrépide, Ameli lance Mon Espace Santé, dossier numérique recueillant les données des assurés (activé d’autorité, mais Marcel vous a expliqué comment s’y opposer là). Le site Ameli en fait la promo : « Mon espace santé est un service numérique de confiance » « La confidentialité des informations du dossier médical est totalement garantie. » « Ces données sont hébergées en France sur des serveurs répondant aux plus hautes normes de sécurité. »
Et qui a obtenu le marché de Mon Espace Santé ? Dedalus !
/https%3A%2F%2Fimages.ladepeche.fr%2Fapi%2Fv1%2Fimages%2Fview%2F6603b878e82fc213880a3eb8%2Flarge%2Fimage.jpg%3Fv%3D1)
/image%2F1210759%2F20240312%2Fob_59f2db_01003372983244-web-tete.webp)
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
/https%3A%2F%2Fcdn.ripostelaique.com%2Fwp-content%2Fuploads%2F2024%2F02%2FFII3Da.png)
/https%3A%2F%2Fprofilepics.canalblog.com%2Fprofilepics%2F7%2F9%2F795296.jpg)