Maison des Lanceurs d'Alerte
Créée en 2018, la Maison des Lanceurs d'Alerte défend et accompagne les lanceurs et lanceuses d'alerte dans leur démarche. Elle fait évoluer le droit et conseille les lanceurs et lanceuses d'alerte, notamment lorsqu'ils sont victimes de représailles.
Abonné·e de Mediapart

58 Billets

0 Édition

Billet de blog 10 nov. 2022

Maison des Lanceurs d'Alerte
Créée en 2018, la Maison des Lanceurs d'Alerte défend et accompagne les lanceurs et lanceuses d'alerte dans leur démarche. Elle fait évoluer le droit et conseille les lanceurs et lanceuses d'alerte, notamment lorsqu'ils sont victimes de représailles.
Abonné·e de Mediapart

Chronique 1/8 | Sans un lanceur d'alerte, nous n'aurions jamais su...

Les données de 500 000 personnes en libre accès sur Internet : c'est ce que les alertes d'un salarié de Dedalus auraient permis d'éviter s'il avait été écouté et non... licencié !

Maison des Lanceurs d'Alerte
Créée en 2018, la Maison des Lanceurs d'Alerte défend et accompagne les lanceurs et lanceuses d'alerte dans leur démarche. Elle fait évoluer le droit et conseille les lanceurs et lanceuses d'alerte, notamment lorsqu'ils sont victimes de représailles.
Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Illustration 1

L'histoire commence en 2018 alors qu'il est recruté par la société Dedalus comme développeur. Passionné de cybersécurité, il identifie rapidement plusieurs failles dans les logiciels et systèmes d'information de l'entreprise. Des particuliers ont aussi alerté : en se connectant à un logiciel fourni par l'entreprise pour consulter les résultats de leurs examens de biologie, ils découvrent qu'ils peuvent avoir accès à l'ensemble des ordonnances et résultats hébergés sur la plateforme !

Et ce n'est pas tout : l'intranet de l'entreprise est accessible à n'importe qui depuis l'extérieur, tout comme l'extranet comprenant notamment les tickets ouverts par les hôpitaux et laboratoires clients de Dedalus. Il parvient aussi à récupérer la clef privée permettant d'accéder aux serveurs de la société.

Problème : le lanceur d'alerte n'a pas été recruté pour identifier les brèches de sécurité affectant les logiciels commercialisés par son employeur. Ce qui n'empêche pas ses supérieurs de reconnaître dans un premier temps son expertise, de lui demander des investigations complémentaires... avant de le rappeler à l'ordre et de s'en séparer en 2020. Sans pour autant colmater les failles identifiées.

Saisie, la Cnil finit par enquêter et par sanctionner Dedalus pour plusieurs manquements au RGPD (règlement général sur la protection des données). Elle estime que les données médico-administratives de près de 500 000 personnes ont été compromises et condamne la société à une amende de 1,5 millions d'euros.

Des risques et une sanction que les alertes internes auraient pu éviter.


Pour faire entendre la voix des lanceurs d'alerte, nous avons besoin de votre aide : https://mlalerte.org/dons

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Bienvenue dans Le Club de Mediapart

Tout·e abonné·e à Mediapart dispose d’un blog et peut exercer sa liberté d’expression dans le respect de notre charte de participation.

Les textes ne sont ni validés, ni modérés en amont de leur publication.

Voir notre charte