Le 21 avril 2022, la Commission nationale de l’informatique et des libertés de France (Cnil) a condamné la société Dedalus Biologie, à une amende d’un million et demi d’euros à la suite d’une fuite de données médicales de près de 500 000 personnes. Dedalus commercialise des solutions logicielles pour des laboratoires d’analyse médicale, mais la sécurité des données ne semble pas la priorité de ses dirigeants.
Le hold-up des données de 500 000 assurés
L’histoire remonte au 25 mars 2020. Un développeur web de 28 ans de la société Dedalus Biologie fait remonter à son employeur des problèmes de sécurité. Quelle est la décision immédiate des patrons de l’entreprise ? Renforcer la sécurité informatique ? Vous n’y êtes pas ! Ils virent tout simplement le lanceur d’alerte pour faute grave (donc sans indemnités). Pourtant, selon le rapporteur de la Cnil, « il est établi que celui-ci avait bel et bien effectué des signalements pertinents, ce qui ressort d’échanges internes entre […]. » Le nom des responsables n’est pas indiqué par la Cnil. Dommage.
Le 4 novembre 2020, malgré l’alerte de mars : « l’Agence nationale de la sécurité des systèmes d’information a observé que des données de patients du laboratoire […] étaient mises en vente sur le darknet, sous-réseau d’Internet pourvu de fonctions d’anonymisation et dans lequel toutes les ressources ne sont pas nécessairement indexées par les moteurs de recherche. L’ANSSI a transmis au laboratoire concerné un fichier contenant 56 lignes avec des données à caractère personnel de ses patients. Le jour même, le fichier ainsi que le courriel de l’ANSSI ont été transmis à la société Dedalus Biologie par le directeur des systèmes d’information du réseau […], au sein duquel figure le laboratoire […]. »
Dedalus France n’ayant pas amélioré la sécurité de son système, l’inévitable finit par se produire : le 23 février 2021, un fichier contenant les données médico-administratives de près de 500 000 personnes est divulgué sur des forums.
Le 24 février 2021, sans perdre de temps, la Cnil effectue plusieurs contrôles, notamment chez Dedalus Biologie, et bloque, dans la foulée, le lien qui permettait de télécharger le fichier malveillant. Un blocage qui touche également l’intégralité du site qui hébergeait le fichier.
Ameli ne s’affole pas et continue à prôner l’informatisation des données
L’assurance maladie fait la promotion de l’informatisation des données médicales : « Garantir la dématérialisation de vos échanges de données avec l’Assurance maladie ». Le 31 mai 2021, malgré la méga fuite de données d’un demi-million d’assurés sur Internet du 23 février 2021, Thomas Fatome, directeur général de l’Assurance maladie, fait l’éloge de son bébé, Mon Espace Santé, bref de l’informatisation des données des assurés. Donc, foin des risques et des scandales, début 2022, intrépide, Ameli lance Mon Espace Santé, dossier numérique recueillant les données des assurés (activé d’autorité, mais Marcel vous a expliqué comment s’y opposer là). Le site Ameli en fait la promo : « Mon espace santé est un service numérique de confiance » « La confidentialité des informations du dossier médical est totalement garantie. » « Ces données sont hébergées en France sur des serveurs répondant aux plus hautes normes de sécurité. »
Et qui a obtenu le marché de Mon Espace Santé ? Dedalus !
La Cnil finit par condamner Dedalus
Ce n’est qu’un an après le scandale, que la Cnil finit, le 21 avril 2022, par condamner Dedalus Biologie qui « n’a pas mis en œuvre de mesures satisfaisantes de sécurité pour encadrer le serveur FTP Megabus ». Les données diffusées sur Internet étaient :
– des données d’identification : numéro de sécurité sociale, nom, prénoms, sexe, adresse postale, numéro de téléphone, adresse électronique, date de la dernière visite médicale, date de naissance ;
– deux colonnes de commentaires libres contenant notamment des informations relatives aux pathologies des patients (VIH, cancers, maladies génétiques), à l’état de grossesse, aux traitements médicamenteux suivis par le patient ou encore des données génétiques ;
– des données d’identification du médecin prescripteur : nom, prénom, adresse postale, numéro de téléphone, adresse électronique ;
– des données relatives au préleveur : nom, prénom, adresse, numéro de téléphone ;
– des données relatives à la mutuelle du patient : Id tiers payant (suite de chiffres), adresse postale, numéro de téléphone ;
– une colonne Identifiant SR et une colonne MP, correspondant aux identifiants et mots de passe utilisés par le patient pour se connecter à son espace.
Après la condamnation par la Cnil, Ameli affiche sur son site : « Indisponibilité de l’environnement éditeurs TLSI ». Les TLSI ce sont les TéléServices intégrés de l’Assurance Maladie. Une manière de présenter le scandale Dedalus qui vient d’éclater comme s’il s’agissait d’un banal problème technique totalement imprévisible.
Dedalus France s’est fait piéger par un pirate. Microsoft Azure (Bill Gates) via Health Data Hub pouvait prendre la relève et transmettre tranquillement les informations des assurés via IQVIA aux laboratoires pour des essais cliniques virtuels et des recherches en intelligence artificielle nécessaires aux études de marché. On vous avait expliqué la manœuvre là. Heureuse conséquence du scandale Dedalus France qui avait éclaté le 23 février 2021 ? Le 10 janvier 2022, le Health Data Hub a retiré sa demande d’autorisation à la Cnil. La perte pour les deux sociétés est toute relative, étant donné leurs chiffres d’affaires. Microsoft France : 2,2 milliards en 2020. Dedalus France : 52 millions en 2020 en France et 210 millions en Europe.
Jacqueline pour Le Média en 4-4-2.