Incident de sécurité

Saint-Ouen-L’Aumône, 5 juillet 2021

Chers Confrères,

Nous tenons à vous informer que notre Laboratoire a été victime d’un vol de données à la suite d’une défaillance de l’un de nos prestataires, en charge de l’hébergement de l’une de nos bases de données.

Cette base de données contenant des informations de patients a en effet été momentanément exposée sur Internet. Les investigations que nous avons immédiatement mises en œuvre nous ont permis de conclure que des personnes non autorisées ont eu accès à cette base et qu’un certain volume de données, y compris des données personnelles, a été exfiltré.

Les mesures de remédiation que nous avons mises en œuvre

La sécurité des données est au cœur de nos préoccupations. Ainsi, dès l’identification de la survenance de l’incident :

  • Nous avons immédiatement mis en œuvre les mesures de remédiation nécessaires pour que la base de données exposée soit isolée et rendue inaccessible ;
  • Nous avons mis en place une veille continue pour identifier toute exploitation éventuelle des données sur Internet – ce qui n’est pas le cas à ce jour.

Nous avons également, en notre qualité de responsable du traitement, porté à la connaissance des autorités de contrôle compétentes (à savoir la CNIL et l’ARS Ile-de-France) toutes les informations en notre possession concernant cet incident et porté plainte contre X auprès des services de police.

Quelles informations sont concernées ?

Les catégories de données personnelles suivantes, qui étaient renseignées sur la base de données, ont pu, à ce titre, être exfiltrées :

  • Les nom, prénom, date de naissance et genre des patients ayant eu des dossiers mis en ligne entre le 1er janvier 2017 et le 24 juin 2021
  • La nature de l’examen réalisé par notre Laboratoire
  • Le résultat de l’examen

La base de données ne comportait aucune information relative au numéro de sécurité sociale (NIR), aux données bancaires ou aux coordonnées postales, électroniques ou téléphoniques.

Nos recommandations

Malgré les démarches déjà entreprises par notre Laboratoire et le fait qu’aucune coordonnée précise n’ait été accessible, nous vous remercions de porter à notre connaissance tout évènement ou information en lien avec cet incident.

Nous vous précisons qu’une information à destination des patients est publiée sur le site www.lab-cerba.com.

A toutes fins utiles, nous vous précisons qu’à notre sens il ne vous est pas nécessaire de procéder à une notification à la CNIL dans la mesure où nous avons réalisé l’ensemble de ces démarches en notre qualité de responsable du traitement.

Pour toute question, nous vous invitons à nous adresser un courriel à rpd.cerba@lab-cerba.com  ou un courrier postal à RPD – Cerba – 7-11 Rue de l'Équerre, 95310 Saint-Ouen-l'Aumône.

Sylvie CADO - CEO Cerba 

 

Actualités

Toutes les Actualités