Violation de données aux Pays-Bas : les données médicales de 485 000 femmes compromises

Publié le 31 août 2025 à 10:01

Cet été, une cyberattaque d’envergure a visé Clinical Diagnostics NMDL, un laboratoire chargé des dépistages du cancer du col de l’utérus aux Pays-Bas. Entre le 3 et le 6 juillet 2025, des hackers, affiliés au groupe Nova, ont accédé à une quantité massive de données sensibles. Selon les premières informations, les données personnelles de près de 485 000 femmes ayant participé à ces dépistages seraient concernées : noms, adresses, dates de naissance, numéros de sécurité sociale (BSN), résultats d’analyses, ainsi que certaines données de professionnels de santé.

Une partie limitée de ces informations (environ 53 000 enregistrements) a été publiée sur le Dark Web. Cette publication a ensuite été retirée, et la presse a évoqué le versement d’une rançon. Toutefois, le laboratoire n’a pas confirmé officiellement le paiement ni la suppression complète des données compromises.

Les femmes concernées ont été notifiées par courrier ou e-mail (plus de 405 000 notifications envoyées), avec des recommandations de vigilance renforcée face aux risques de phishing ou de fraude.

Réponse des autorités

L’Inspection des soins de santé et de la jeunesse (IGJ) a ouvert une enquête sur les mesures de sécurité du laboratoire.
L’Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, AP) examine si l’obligation de notification sous 72 heures a été respectée. En cas de manquement, des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial peuvent être prononcées.
Plusieurs milliers de victimes se sont déjà inscrites pour une action collective conduite par un cabinet spécialisé.

Points à retenir

Vulnérabilités de la chaîne de sous-traitance : le rôle d’un laboratoire prestataire, en lien avec des organismes publics, illustre combien les tiers peuvent fragiliser l’ensemble de la conformité et devenir le maillon faible de la sécurité.
Opacité persistante : l’absence de confirmation officielle sur le paiement de rançon et sur le retrait définitif des données entretient un climat de doute, accentuant la défiance du public.
Impact humain : la fuite de données médicales, parmi les plus sensibles, génère une détresse légitime et des risques accrus de chantage ou de fraude.
Rappel systémique : les données de santé sont une cible privilégiée pour les cybercriminels. La gouvernance et la résilience de ce secteur doivent être renforcées, tant sur le plan technique que contractuel.

Conclusion

Cet incident illustre de manière frappante que la conformité RGPD et la cybersécurité sont indissociables. Plus qu’une obligation réglementaire, elles conditionnent la confiance des patients et la légitimité des institutions de santé.

Au-delà du cas néerlandais, l’attaque rappelle à toutes les organisations européennes l’importance de :

cartographier et auditer régulièrement les prestataires,
renforcer les clauses contractuelles de sécurité,
anticiper les scénarios de crise (violations, demandes de rançon, communication publique),
placer la protection des personnes concernées au cœur de la réponse.

« Précédent Le Danemark face aux deepfakes : vers un droit de l’image et de la voix renforcé ? Data Act et RGPD : comment se complètent-ils ? Suivant »