https://www.nehs-digital.com

Systèmes d'information

Fuite des données de santé de près de 500.000 patients: le parquet de Paris ouvre une enquête

0 286

PARIS (TICsanté) - Après la Commission nationale de l'informatique et des libertés (Cnil) et l'éditeur Dedalus, qui ont annoncé le 24 février "procéder à des contrôles" et "enquêter" suite à la fuite de données personnelles de santé touchant près de 500.000 patients, l'affaire prend une tournure judiciaire: le parquet de Paris a confirmé à TICsanté avoir ouvert une enquête.

Un fichier contenant les données personnelles de santé de près de 500.000 patients a été diffusé sur le darkweb, ont rapporté les sites d'information Zataz dès le 14 février et CheckNews le 23 février.

"La section cyber du parquet de Paris a ouvert le 24 février 2021 une enquête des chefs d'accès et maintien frauduleux dans un système de traitement automatisé de données et extraction, détention et transmission frauduleuse de données contenues dans un tel système", a fait savoir le 25 février à TICsanté le parquet de Paris.

"Les investigations ont été confiées à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC)."

Les données en question -regroupées dans un fichier Excel qu'a également pu consulter TICsanté-, reprennent les informations médico-administratives (numéros de sécurité sociale, rang CPAM notamment), données personnelles des patients (nom, prénoms, âge, adresses postale et mail, numéro de téléphone et informations sur les conjoints) groupe sanguin des patients et des indications sur l'état de santé des patients (diabète, VIH+, stérilité, fibromyalgie, etc.) formulées en clair dans une case commentaires dédiée.

Par ailleurs, les informations personnelles des médecins suivant ces patients figurent également dans le fichier: nom, prénoms, adresses postale et mail, numéros de téléphone/fax et numéro RPPS (répertoire partagé des professionnels de santé).

D'après CheckNews, ces données -mentionnées sur une chaîne turque de la messagerie chiffrée Telegram- n'auraient pas été vendues mais "diffusées gratuitement" après une querelle entre les pirates turcs sur leur commercialisation souterraine.

Plusieurs professionnels de santé mentionnés dans le fichier ont confirmé au site d'information l'exactitude des informations publiées, concernant leurs patients et les dates de rendez-vous en laboratoire d'analyse médicale.

Ce fichier regroupe les données personnelles de santé de patients présentant le trait commun de s'être rendus dans un laboratoire de biologie médicale. Toujours d'après CheckNews, les données proviendraient "d’une trentaine de laboratoires de biologie médicale […] surtout situés dans les départements du Morbihan, de l’Eure, du Loiret, des Côtes-d’Armor et dans une moindre mesure du Loir-et-Cher".

"Les dates des prélèvements s’étalent de 2015 à octobre 2020. Mais l’immense majorité des quelque 500.000 patients que recense la base ont effectué leurs analyses en 2018 ou 2019." Les laboratoires d'analyse médicale, les patients et les professionnels de santé concernés n'avaient pas -mardi- été informés par un canal officiel de cette fuite de données massive.

Le "point commun" Dedalus

Tous ces laboratoires utilisent le même logiciel fourni par la société Dedalus, elle-même victime d'une cyberattaque en décembre 2020, rappelle-t-on.

Tous utilisateurs de la solution Mega-Bus (Medasys, acquise par Dedalus en 2016), la majorité des laboratoires ont déjà "migré" vers une autre solution de Dedalus ou sont "en train de le faire", a indiqué l'entreprise.

Pour expliquer cette fuite de données, plusieurs pistes sont avancées.

"Elle a pu survenir lors de la migration des laboratoires vers la nouvelle solution mais si ces informations avaient été correctement chiffrées, il aurait été plus difficile d'y accéder. Là, on peut penser qu'elles l'étaient mal ou qu'elles ne l'étaient pas du tout. C'est à Dedalus de prouver que la migration s'est bien déroulée", a expliqué à TICsanté le 24 février Nesrine Benyahia, docteure en droit public spécialisée en analyse des systèmes de santé et fondatrice de la start-up DrData.

"On peut aussi imaginer que ce fichier ait été constitué à partir des données extraites par quelqu'un qui y avait accès pendant la migration ou à un autre moment et mis sur une clé USB", a-t-elle poursuivi. "Je ne serai pas étonnée que ce soit fait sciemment, pour alerter sur l'existence de ces failles, par exemple, mais quand on fait de l'analyse de risques: tous les scénarios doivent être envisagés."

En attendant que toute la lumière soit faite sur cet événement, Dedalus -qui a découvert l'existence de cette fuite de données par la presse-, se défend de toute responsabilité.

Le 24 février, Dedalus France a diffusé un communiqué de quatre lignes, décrivant succinctement la mobilisation de ses équipes réunies en cellule de crise.

"Dedalus France a été mentionné dans des articles de presse relatant des fuites de données. Dedalus rappelle que la sécurité et la protection des données sont sa priorité", a d'abord fait valoir la société.

"Face à la gravité des sujets évoqués, Dedalus France est pleinement mobilisé et une enquête approfondie est en cours avec le support d’une équipe d’experts indépendants. Les équipes de Dedalus sont aux côtés des laboratoires et de leurs patients dont les informations ont été divulguées", peut-on également lire.

Interrogée par TICsanté le 24 février, la direction a expliqué ne pas connaître -à date- "l'origine et les causes de la fuite". "L'équipe d'experts va étudier ce fichier et toutes les informations qu'il contient afin d'identifier de quels laboratoires partenaires sont issues ces données", a-t-on appris.

Ils vont également tenter de déterminer "comment ces données ont pu être centralisées".

La Cnil rappelle les fondamentaux et "procède à des contrôles"

De son côté, la Cnil a également réagi le 24 février.

"La Cnil a été informée par les médias de la publication d’un fichier contenant des données médicales de près de 500.000 personnes. Elle procède actuellement à des contrôles pour constater officiellement la mise à disposition du fichier", a déclaré la commission sur son site.

"Les constatations préliminaires semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importantes, et laissent à penser que les données proviendraient de laboratoires d’analyse médicale. Si ces éléments devaient être confirmés, il incombe aux organismes concernés qui ne l’auraient pas déjà fait, de procéder à une notification auprès de la Cnil, dans les 72 heures suivant le moment où ils en ont pris connaissance", a souligné la Cnil.

"Lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne. Cela peut être le cas si, comme la presse s’en est fait l’écho, des données de santé particulièrement sensibles ont été divulguées et en nombre important", a-t-elle ajouté.

Dans ce cas de figure, les responsables de traitement sont les laboratoires d'analyse médicale, auxquels il incombe de procéder aux notifications auprès de la Cnil et individuellement auprès de chaque patient et professionnel concerné. Dedalus est sous-traitant au regard du règlement européen pour la protection des données (RGPD).

Par ailleurs la Cnil a rappelé que les responsables de traitement "ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé".

"En cas de manquement à ces obligations, la Cnil pourrait engager des actions répressives, sans préjudice des actions que les autres autorités compétentes seraient susceptibles de mener", a-t-elle prévenu.

Wassinia Zirar
Wassinia.Zirar@apmnews.com

http://www.computer-engineering.fr/

Politique

Médico-social: la Cnil adopte un référentiel relatif aux traitements de données

PARIS (TICsanté) - La Commission nationale de l'informatique et des libertés (Cnil) a adopté un référentiel relatif aux traitements de données dans les secteurs médico-social et social, publié le 23 mars au Journal officiel.

0 215

Acteurs

"Conflit d'intérêts" et "processus de commande publique altéré" à la DSI de l'AP-HP (chambre régionale des comptes)

PARIS (TICsanté) - La chambre régionale des comptes (CRC) a constaté "une situation de conflit d'intérêts" et "l'existence d'un processus de commande publique altéré" à la direction des systèmes d'information (DSI) de l'Assistance publique-hôpitaux de Paris (AP-HP), dans un rapport sur sa situation financière et sa gouvernance.

0 224

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
4 + 2 =
http://www.canyon.fr/
https://mailchi.mp/groupepsih.com/hospivision-offre-resah

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 22/06/2021 au 23/06/2021

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021

https://www.santexpo.com/exposer/participer-au-salon/?utm_campaign=TICSANTE&utm_source=SW&utm_medium=BAN&utm_salon=SE