Protection des données
Dans la nuit du 10 au 11 novembre 2025, l'éditeur Weda a subi une cyberattaque touchant plus de 23 000 professionnels de la santé. Dès lors, les équipes doivent gérer une double urgence : rétablir leur activité tout en répondant à leurs obligations légales en matière de protection des données personnelles.
Article publié dans Concours pluripro, janvier 2026
Travail "à l'aveugle", sans accès aux antécédents médicaux, aux résultats d'analyses ou aux traitements en cours... La cyberattaque qu'a subie Weda (comme d'autres éditeurs de logiciels médicaux), ciblant le SIP de certaines MSP, les a placées dans une situation inédite, les obligeant à agir rapidement pour se conformer au RGPD, alors même que certaines méconnaissent encore l'étendue de leurs obligations en matière de protection des données. Quelles sont les étapes clés pour les structures concernées ?
Comme le prévoit l'article 34 du RGPD, "en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente [...], dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance". Ce délai de 72 heures a démarré pour les MSP au moment où Weda les a informées de la cyberattaque. Dès lors, elles étaient tenues de notifier rapidement auprès de la Cnil, et ce alors même qu'elles n'étaient pas en possession de l'ensemble des informations et de l'étendue des données compromises. Cette notification doit décrire la nature de la violation de données à caractère personnel, communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact, et décrire les conséquences probables de la violation de données à caractère personnel ainsi que les mesures déjà prises (ou proposées) pour y remédier et, le cas échéant, celles pouvant atténuer les éventuelles conséquences négatives.
Même avec des informations partielles, une déclaration initiale doit être réalisée à l'aide des éléments communiqués par l'éditeur, pour respecter le délai prévu par le RGPD. Elle pourra être complétée ultérieurement lorsque l'éditeur fournira des précisions complémentaires. À noter : les professionnels de santé n'ont pas à notifier individuellement la Cnil. C'est à la MSP, en tant qu'entité disposant d'une personnalité morale ayant contractualisé avec l'éditeur, d'effectuer cette notification.
