Incident logiciel WEDA

Paris, le 19 novembre 2025
  

INFO URGENTE :

REPONSES DU MINISTERE SUITE
À LA CYBERATTAQUE DE L’EDITEUR WEDA
  

Les préoccupations concernant le rôle du Responsable de Traitement (RT) (le médecin) et du Sous-Traitant (ST) (l'éditeur Weda) en matière de violation de données sont tout à fait légitimes, en particulier face à l'injonction d'informer les patients.

1. Notification à la CNIL (Art. 33 RGPD)

· Responsabilité: La notification incombe au Responsable de Traitement (le médecin), au plus tard 72 heures après en avoir eu connaissance.

· Point de départ du délai: Le délai commence à courir lorsque le RT parvient à qualifier la violation de données personnelles (incident avéré affectant des données personnelles). Durant la phase d'investigation par le sous-traitant, le délai ne court pas.

· Devoir d'assistance du ST: Le sous-traitant (Weda) a le devoir (Art. 28, f) de mener les investigations et de fournir au RT tous les éléments utiles pour procéder à sa notification à la CNIL. L'éditeur Weda, en tant que sous-traitant, ne peut pas se substituer à l'obligation du médecin, mais doit lui fournir le support pour qu'il puisse respecter le délai. L'information de Weda sur la notification initiale semble être une tentative d'assistance en ce sens.

=> Conclusion de notre analyse sur les obligations CNIL: Étant donné que Weda a déjà notifié l'incident et que les médecins ont des difficultés à qualifier la violation par eux-mêmes, il n'est pas nécessaire pour les médecins de reboucler avec la CNIL à ce stade comme nous l'avions initialement envisagé. La priorité est de s'assurer que Weda remplit son devoir d'assistance.

2. Information des personnes concernées (patients) (Art. 34 RGPD)

· Obligation du RT (médecin): L'information incombe également au Responsable de Traitement (le médecin) et doit intervenir dans les meilleurs délais si la violation engendre un risque élevé pour les droits et libertés des patients.

· Contenu de l'information: Elle doit a minima contenir la nature et les conséquences probables de la violation, les coordonnées du contact, et les mesures prises pour remédier à l'incident et limiter ses conséquences.

· Condition préalable: L'information aux patients ne doit pas avoir lieu avant :

1. Que le risque élevé pour les personnes ne soit qualifié.

2. Que le RT ne dispose des éléments complets que doit contenir l'information (fournis par le sous-traitant).

· Conclusion sur l'information des patients:

Le courrier de Weda indique que l'éditeur estime que le risque est potentiellement élevé et recommande une communication globale. Toutefois, Weda doit fournir la preuve et la justification du risque élevé et transmettre tous les éléments complets nécessaires au contenu de l'information (conséquences précises, mesures détaillées, etc.) pour que le médecin (RT) puisse procéder.

L'exigence faite aux praticiens de contacter individuellement, par exemple 10 000 patients, dont une majorité n'a ni email ni portable, parait disproportionnée et irréaliste dans les conditions actuelles (charge de travail, absence de secrétaire, coût). Le principe de proportionnalité devrait s'appliquer aux modalités de cette information, et l'affichage en cabinet, tel qu'envisagé par le Dr Perret, pourrait être une solution proportionnée dans l'attente d'une clarification. => Mais cela sera à rediscuter avec la CNIL lorsque les investigations auront permis de préciser la réalité des faits.

Prochaines étapes et actions : 

Nous prenons acte de cette maladresse de communication de Weda et de la nécessité d'une doctrine claire comme vous l'avez sollicité. Nos actions vont donc se concentrer sur les points suivants :

1. Intervention auprès de Weda :

1. Nous avons partagé cette analyse RGPD avec Weda et leur avons demander de proportionner leurs demandes auprès des médecins pour ne pas ajouter de contraintes supplémentaires qui ne serait pas jugée directement nécessaire par la CNIl.

2. Poursuivre l’accompagnement de l’éditeur par les agences dédiées (ANSSI) pour les aider à caractériser la réalité des fuite de données, ce qui permettra ensuite de définir les mesures RGPD adéquates.

2. Clarification et doctrine nationale : Dès que les faits seront avérés et objectivés, nous solliciterons la CNIL et l'ANSSI avec les nouveaux éléments de contexte, non pas pour une notification (comme cela était demandé par Weda aux médecins), mais pour obtenir une doctrine d'urgence et proportionnée sur les modalités d'information des patients (Art. 34), prenant en compte les réalités du terrain (par exemple : zones sous-denses, absence de coordonnées électroniques).

3. Soutien aux professionnels : le CORRUS centre opérationnel de régulation des réponses aux urgences sanitaires et sociales a été saisi de la situation provoqué par cette indisponibilité de Weda et est en train d’en évaluer les conséquences et actions nécessaires. Les ARS et CPAM ont également été informées et sont en train d’évaluer la meilleure façon de répondre aux besoins des professionnels impactés. Ministère (DNS)

Retrouvez toutes les infos sur notre site (cliquez ici)