Affaire de la fuite de données de santé de laboratoires français

En février 2021, une enquête menée par quatre journalistes du service CheckNews du quotidien Libération révèle une affaire de fuite de données présentée comme « le plus grand piratage de données en France »[1]. L'affaire est en effet d'une ampleur inédite, tant en raison de la nature des données en circulation (données relatives à la santé des personnes), que par le nombre de patients concernés (500 000 patients) et par le fait que la base de données est disponible gratuitement sur le dark web. Un second volet de l'enquête révèle que les autorités étaient au courant de l'existence de cette fuite depuis novembre 2020[2], interrogeant sur l'inertie des pouvoirs publics.

La base de données a été évoquée pour la première fois le 14 février par le site Zataz[3], qui note que ces données sont partagées gratuitement et concerneraient des assurances ou des laboratoires français. L'enquête du journal Libération, publiée le 23 février[1], permet d'identifier la véritable nature de la base de données: il s'agit de données médico-administratives renseignées sur un logiciel de laboratoires de biologie médicale nommé Mega Bus, entre 2015 et 2020. Le journal révèle le fichier a été constitué à la suite de la migration de données depuis un logiciel obsolète de l'éditeur informatique Dedalus.

À la suite de ces révélations, la CNIL indique dans un communiqué avoir ouvert une enquête[4], et le parquet se saisit de l’affaire[5]. Cédric O déclare sur France 2 que « s’il y a eu des négligences sur la protection des dossiers des patients ou leur information, les responsables pourraient être lourdement sanctionnés. »

Dans un second volet de l'enquête, paru le 27 février[2], Libération révèle plusieurs éléments nouveaux : les autorités étaient au courant de la fuite depuis plusieurs mois. En effet, selon le journal, un échantillon de la base de données était en libre accès dès novembre 2020 et l'ANSSI, au courant, a notifié un laboratoire du groupe Biogroup de la présence de données en ligne. Celui-ci aurait alors prévenu la CNIL. Toujours selon Libération, en décembre, une enquête de l'Agence du numérique en santé du ministère de la Santé avait déjà conclu que la fuite était liée à l'enregistrement d'un fichier sur un serveur non sécurisé lors d'une migration depuis le logiciel Mega Bus de l'éditeur Dedalus. Ni l'ANSSI, ni Dedalus n'ont prévenu d'autres laboratoires de ce problème pourtant identifié.

Selon Libération, à partir des codes postaux figurant dans les adresses des médecins présents dans la liste, « le Morbihan est le département plus concerné : sur l’ensemble des codes postaux de médecins prescripteurs, 36% commencent par 56. Viennent ensuite le Loiret (22%) et l’Eure (plus de 20%). Suivent, assez loin derrière, les Côtes-d’Armor (6%), l’Ille-et-Vilaine (près de 6 %) et enfin le Loir-et-Cher (plus de 3%)[6]. »

De nombreux médias font écho à cette information : le Monde, le Figaro, Ouest-France, TF1, France 2, France 5, BFM TV, l'Agence France-Presse, France Info, France Inter[7], ou encore France Culture. De très nombreuses personnes présentes dans la base, dont certaines personnalités comme Hervé Morin, se déclarent choquées de découvrir leur données privées si mal protégées[1].

• Fuite de données
• Cybersécurité
• CNIL
• Groupe Dedalus (informatique)

• Portail de la sécurité informatique