Ransomware Embargo chez ChipSoft : la 'destruction' annoncée des données patients ne tient pas devant le RGPD

7/5/26
👈 les autres actualités

ChipSoft, l'éditeur néerlandais du logiciel hospitalier HiX largement déployé dans les hôpitaux des Pays-Bas, affirme que les données personnelles de patients exfiltrées par le groupe ransomware Embargo ont été « confirmées détruites ». Une formulation rassurante, mais qui ne tient pas devant l'article 33 du RGPD : aucune promesse d'attaquant n'a jamais effacé une violation de données, et l'incident reste un cas d'école pour tout DPO européen confronté à un fournisseur santé compromis.

Ce qui s'est passé

Le groupe ransomware Embargo a revendiqué une attaque sur ChipSoft, éditeur dont le système HiX gère les dossiers patients d'une grande partie des hôpitaux néerlandais. Selon les éléments diffusés par DataBreaches.net le 7 mai 2026, ChipSoft a négocié avec les attaquants et obtenu de leur part la « confirmation » que les données exfiltrées avaient été détruites. L'entreprise communique aujourd'hui sur ce point pour rassurer ses clients hospitaliers et leurs patients.

Trois faits sont incontestables : il y a eu intrusion, il y a eu exfiltration, et il y a eu négociation. Le reste relève de la parole de l'attaquant. Le périmètre exact des données concernées — dossiers médicaux, identifiants patients, données administratives — n'a pas été précisé publiquement, ce qui est en soi un signal d'alarme pour les responsables de traitement clients de la solution.

Pourquoi c'est important

Pour un DPO, l'angle « les données ont été détruites » est juridiquement vide. Le RGPD considère qu'une violation existe dès qu'il y a perte de confidentialité, indépendamment de ce que l'attaquant déclare faire ensuite des données. L'article 33 impose la notification à l'autorité de contrôle dans les 72 heures, et l'article 34 la communication aux personnes concernées en cas de risque élevé pour leurs droits et libertés. Aucun de ces deux articles ne prévoit d'exception « si l'attaquant promet la destruction ».

L'enjeu est d'autant plus lourd que ChipSoft traite des données de santé, qualifiées de catégories particulières par l'article 9 du RGPD. La présomption de risque élevé est quasi automatique pour ce type de fuite : la communication individuelle aux patients devient la règle, pas l'exception. C'est exactement la lecture que les DPO européens avaient appliquée au cas Medtronic / ShinyHunters fin avril 2026, et que les autorités attendent ici.

Le mode opératoire — ransomware avec exfiltration préalable, négociation puis « preuve » de destruction — n'est pas nouveau. C'est la signature d'une économie cybercriminelle qui a compris que l'extorsion par exposition est plus rentable que le simple chiffrement. Les techniques évoluent dans le même sens, comme l'illustrent les EDR Killers utilisés en amont des intrusions silencieuses, qui rendent illusoire l'idée d'une visibilité complète sur ce qui a été emporté.

Ce que ça change pour les organisations

Pour les hôpitaux et établissements de santé clients de ChipSoft (ou de tout SIH équivalent en Europe), l'incident impose trois actions immédiates.

D'abord, ouvrir le dossier de violation côté responsable de traitement. ChipSoft est sous-traitant au sens de l'article 28 du RGPD : sa compromission déclenche les obligations du responsable, pas les siennes seulement. Il faut documenter l'incident dans le registre des violations, évaluer le risque pour les patients et déclarer à l'autorité compétente dans les 72 heures suivant la prise de connaissance — sans attendre que ChipSoft « finalise son enquête ».

Ensuite, refuser la fiction de la destruction comme atténuation du risque. Une promesse d'attaquant n'est pas une garantie technique. La grille EDPB 01/2021 sur la notification reste la référence : tant que la copie exfiltrée n'est pas démontrée comme inexploitable, la confidentialité est compromise et le risque doit être traité comme tel pour calibrer la communication aux personnes concernées.

Enfin, auditer la chaîne contractuelle. La DPA avec ChipSoft prévoit-elle des obligations claires de notification sous 24 ou 48 heures ? Des audits de sécurité réguliers ? Une démonstration de chiffrement au repos et en transit ? Les organisations qui n'ont pas mis ces clauses à jour découvrent, en cas d'incident, que leur sous-traitant communique à son rythme — pas au leur. C'est exactement la zone grise déjà soulignée dans le cas Booking.com en avril 2026.

Ce que Leto pense de cette décision

La communication de ChipSoft est une opération de gestion de crise, pas une analyse RGPD. Affirmer que les données « ont été détruites » sur la base d'une négociation avec un groupe ransomware n'éteint ni la violation, ni l'obligation de notification, ni le devoir d'information envers les patients. Les DPO et RSSI clients ne peuvent pas s'abriter derrière cette communication : ils restent responsables de la conformité, et c'est leur signature qui figurera sur la notification CNIL — ou sur l'absence de notification, le jour où une enquête remonte le fil.

Sources : DataBreaches.net — Cybersecurity Stolen ChipSoft claims patient data confirmed destroyed following cyberattack (7 mai 2026) · CNIL — Notifier une violation de données personnelles · EDPB — Lignes directrices 01/2021 sur les exemples de violations de données.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026