Actualités

🔗 Cybersécurité ≠ Protection des droits & libertés : l’erreur qui coûte cher
L’hôpital pédiatrique de Białystok sanctionné de 66 500 PLN / ~15 000 € 🇵🇱

Sanction UODO : 30 juin 2025
Décision : DKN.5131.48.2022

🔍 Contexte de l’incident
- Attaque par ransomware : blocage complet de l’infrastructure, accès possible à env. 2 000 dossiers RH (confidentialité & disponibilité atteintes) ; les données « patient » n’ont pas été compromises.

- Période : juillet 2020 → août 2022 (plusieurs interruptions de service et tentative de restauration incomplète).

📌 Pourquoi le RGPD a été violé malgré les efforts « cyber
🔶 Analyse de risque « orientée cybersécurité »
-Tableaux de menaces (rançongiciel, DDoS, perte d’alim.) ✅
- Mais aucun lien avec les traitements RH ou patients 👎
- Pas de scénario : « Si dossier RH indisponible 72 h → retard paie → impact financier salarié »

🔶 Sauvegardes « Schrödinger »
- Back-ups quotidiens ✔️ mais stockés sur le même LAN ❌
- Aucune trace de « test de restauration full bare-metal » (art. 32 §1 c)

🔶 Tests d’efficacité absents
- Pas de journal d’audit, pas de revue trimestrielle
- L’hôpital se fiait au rapport d’un prestataire externe sans vérifier in-house

🔶 Confiance aveugle dans la loi polonaise KSC
- La KSC (équivalent NIS) cible la continuité ; le RGPD cible les personnes
- Résultat : DPIA superficielle, registre incomplet, mesures non corrélées

🚩 Sanction :
💸 Amende : 66 500 PLN (~ 15 000 €)
🎯 Message clé : la “check-list cyber” ne suffit pas si l’impact “droits & libertés” n’est pas au cœur de l’analyse

🔴 Ce qui a fait pencher la balance

👉 Pourquoi c’est un signal pour TOUTES les organisations
- Amende modeste (15 k€) mais message clair : l’UODO sanctionne même sans fuite patient, juste pour DPIA bancale.
- Les autorités convergent : CNIL (France, fiche IA), AEPD (Espagne), IMY (Suède)… mêmes exigences envers « les droits & libertés ».
- Le règlement européen NIS 2 (2024) réclame une gouvernance unifiée cyber + privacy → il faut aligner les deux maintenant.