Fuite Clinical Diagnostics : 70 000 femmes engagent l'action collective, l'État néerlandais visé

11/6/26
👈 les autres actualités

Près d'un an après l'attaque ransomware qui a exposé les données de dépistage du cancer du col de l'utérus de 850 000 femmes aux Pays-Bas, le volet judiciaire s'ouvre pour de bon. Le Women's Rights Collective a annoncé le 11 juin 2026 la préparation d'une action de masse contre Clinical Diagnostics, le laboratoire du groupe Eurofins au cœur de la fuite — et plus de 70 000 victimes se sont déjà inscrites aux différentes initiatives collectives. Fait notable : certaines réclamations visent aussi l'État néerlandais.

Ce qui s'est passé

Entre le 3 et le 6 juillet 2025, le groupe ransomware Nova s'est introduit dans les systèmes du laboratoire Eurofins Clinical Diagnostics NMDL de Rijswijk, prestataire du programme national néerlandais de dépistage du cancer du col de l'utérus. Le bilan, revu plusieurs fois à la hausse, s'est établi à 850 000 patientes concernées : noms, adresses, numéros d'identification citoyens (BSN, l'équivalent du NIR français) et résultats de tests ont été exfiltrés. Des patientes de cliniques privées et de médecins généralistes figurent également parmi les victimes.

Depuis, les conclusions officielles se sont accumulées. L'inspection néerlandaise de la santé (IGJ) a constaté dans son rapport de mai 2026 des manquements structurels à la norme de sécurité de l'information en santé NEN 7510. L'Autoriteit Persoonsgegevens avait déjà pointé des violations des articles 5 et 32 du RGPD antérieures à l'attaque — un dossier que nous avions analysé dans notre article sur les failles de sécurité relevées par la DPA néerlandaise avant le ransomware.

C'est sur ce socle que les actions collectives se construisent : outre le Women's Rights Collective, une fondation constituée selon le régime néerlandais WAMCA (loi sur le règlement des dommages de masse) tient pour responsables Clinical Diagnostics, Bevolkingsonderzoek Nederland — l'opérateur public du dépistage — et l'État, via le ministère de la Santé.

Pourquoi c'est important pour les DPO

Cette affaire illustre la seconde vie d'une violation de données : après la gestion de crise et la sanction administrative vient le contentieux indemnitaire. Le RGPD l'organise explicitement à travers l'article 82, qui ouvre un droit à réparation du préjudice matériel et moral et institue une responsabilité solidaire entre responsable de traitement et sous-traitant. Le mécanisme WAMCA néerlandais, comme l'action de groupe française, donne à ce droit individuel une force de frappe collective.

Le périmètre des défendeurs doit aussi alerter : les requérants ne visent pas seulement le laboratoire défaillant, mais toute la chaîne — donneur d'ordre public compris. C'est la confirmation européenne d'une tendance que nous avions documentée à propos des contentieux américains liés aux fuites chez les sous-traitants : la fuite de votre prestataire devient votre procès. Pour les organisations qui traitent des données de santé, catégorie particulière de l'article 9, l'exposition est maximale — notre guide sur la protection des données de santé détaille ce régime renforcé.

Ce que ça change pour les organisations

Trois enseignements concrets. D'abord, la documentation de l'incident est désormais une pièce de contentieux : registre de violation, notification à l'autorité, communication aux personnes concernées — chaque étape décrite dans notre guide violation de données : comment réagir sera scrutée par les avocats des demandeurs. Ensuite, la posture de sécurité antérieure à l'attaque pèse plus lourd que l'attaque elle-même : les constats IGJ et AP sur le cloisonnement réseau, le MFA et les correctifs serviront de fondement à la démonstration de la faute. Enfin, les donneurs d'ordre doivent auditer leurs sous-traitants critiques au-delà du DPA signé : la responsabilité solidaire de l'article 82 ne s'arrête pas au contrat.

Ce que Leto pense de cette décision

Le contentieux de masse post-violation arrive en Europe, et il ne se contentera pas des géants de la tech. Un laboratoire régional, un opérateur public de dépistage, un ministère : tous sont désormais des cibles crédibles. Pour les DPO, le calcul coût-bénéfice de la sécurité vient de changer d'échelle — provisionner une amende CNIL est une chose, indemniser 850 000 personnes en est une autre. La meilleure défense contentieuse se construit avant l'incident, dans la documentation et l'audit continu de la chaîne de sous-traitance.

Sources : NL Times · Cybernews · Skipr · Claim Bevolkingsonderzoek

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026