Pays-Bas : la DPA pointe les failles de sécurité de Bevolkingsonderzoek avant le ransomware (850 000 patientes)

14/5/26
👈 les autres actualités

L'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, AP) a conclu que Bevolkingsonderzoek Nederland, le laboratoire chargé du dépistage du cancer du col de l'utérus aux Pays-Bas, ne respectait pas les règles de sécurité du RGPD avant la cyberattaque ransomware qui a exposé les données de 850 000 personnes en août 2025. Une décision qui sort du cadre habituel des sanctions « post-incident » : ici, c'est la posture de sécurité préexistante qui est mise en cause, indépendamment de la nature de l'attaque.

Ce qui s'est passé

Le 13 mai 2026, l'AP a publié les conclusions de son enquête sur l'incident survenu chez Bevolkingsonderzoek Nederland. Le laboratoire, opérateur du programme national de dépistage du cancer du col de l'utérus, avait été frappé par le groupe Nova ransomware en août 2025. L'attaque a exposé des données de santé particulièrement sensibles : résultats de dépistage, identifiants patients et informations de prélèvement portant sur environ 850 000 femmes.

L'AP ne se contente pas de constater l'incident. Elle établit que le responsable de traitement avait, en amont de l'attaque, manqué à ses obligations issues des articles 5 et 32 du RGPD : absence de cloisonnement réseau adéquat, défaut d'authentification multifacteur sur les accès administratifs, et procédures de gestion des correctifs jugées insuffisantes pour un environnement traitant des données de santé sensibles au sens du RGPD.

Pourquoi c'est important

La décision néerlandaise illustre un basculement de doctrine qui se généralise chez les autorités européennes : la sécurité ne se juge plus seulement au moment de la fuite, mais sur l'ensemble de la chaîne de mesures techniques et organisationnelles. Autrement dit, un ransomware n'est plus considéré comme un événement extérieur subi — il devient le révélateur d'un défaut de conformité préexistant.

Pour un DPO ou un RSSI, l'enjeu est double. D'une part, l'article 32 du RGPD impose un niveau de sécurité « adapté au risque », et la jurisprudence européenne précise progressivement ce que cela recouvre : MFA, segmentation, chiffrement des sauvegardes, sensibilisation. D'autre part, pour les opérateurs de services essentiels relevant de la directive NIS 2, ces obligations sont désormais redoublées par des exigences sectorielles renforcées et des délais de notification spécifiques.

Le parallèle avec d'autres affaires récentes est frappant. Quelques jours plus tôt, l'éditeur Canvas/Instructure avait dû négocier avec ShinyHunters après une attaque ransomware (voir notre analyse de l'accord Canvas/ShinyHunters), tandis qu'aux Pays-Bas l'éditeur de logiciels hospitaliers ChipSoft a vu sa « destruction » de données contestée par les autorités. À chaque fois, le même fil rouge : l'attaquant ne disculpe pas le responsable de traitement.

Ce que ça change pour les organisations

Pour les structures traitant des données de santé — laboratoires, hôpitaux, prestataires de dépistage, éditeurs e-santé — la décision impose trois mouvements concrets.

1. Documenter ex ante la justification des mesures de sécurité. Un audit RGPD régulier et une cartographie des risques actualisée sont désormais le minimum défendable. Les autorités regardent ce qui était documenté avant l'incident, pas ce qui a été reconstruit après.

2. Aligner la posture sécurité sur l'état de l'art. MFA généralisée, segmentation réseau, journalisation centralisée, gestion stricte des correctifs et tests d'intrusion périodiques sont les éléments que l'AP, la CNIL et l'ANSSI considèrent désormais comme des références implicites de l'article 32. Notre guide complet sur les ransomwares détaille les contre-mesures attendues.

3. Préparer la gouvernance de crise. La notification à l'autorité dans les 72 heures, l'information des personnes concernées et la coordination avec l'ANSSI ou son équivalent national ne s'improvisent pas. Les missions du DPO incluent explicitement la coopération avec l'autorité de contrôle et le rôle de point de contact — encore faut-il que les processus internes l'aient anticipé.

Ce que Leto pense de cette décision

La position de l'AP néerlandaise est juste et attendue. Pendant longtemps, le narratif dominant après une cyberattaque a consisté à présenter l'organisation visée comme une victime, point. Cette époque touche à sa fin. Le RGPD ne sanctionne pas le fait d'être attaqué — il sanctionne le fait d'avoir laissé une organisation traitant des données sensibles dans un état de sécurité incompatible avec le risque. Pour les DPO, le message est clair : la défense en cas de contrôle ne se construit pas le jour de l'incident, mais dans la documentation accumulée pendant les mois et les années qui précèdent.

Si vous voulez mesurer où se situe votre organisme sur cet axe avant qu'un incident ne le fasse pour vous, notre outil gratuit d'évaluation de la maturité RGPD est un bon point de départ.

Sources : DataBreaches.net — NL Dutch watchdog says healthcare lab failed data security rules · Autoriteit Persoonsgegevens (AP) · RGPD articles 5 et 32 · Directive NIS 2.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026