Fuite NHS Essex via Synnovis : 18 mois pour notifier, ou pourquoi le sous-traitant reste le maillon faible des DPO

15/6/26
👈 les autres actualités

Près de deux ans après la cyberattaque qui a paralysé le prestataire d'analyses médicales Synnovis, l'addition continue de s'allonger. Le Mid and South Essex NHS Foundation Trust vient de confirmer que 2 380 dossiers de ses patients figuraient parmi les données volées puis diffusées sur le dark web. Le plus instructif pour les DPO n'est pas le volume : c'est le délai. L'établissement n'a été informé qu'en décembre 2025, soit dix-huit mois après les faits.

Ce qui s'est passé

En juin 2024, le groupe ransomware Qilin s'en prend à Synnovis, prestataire qui analyse les échantillons de sang, d'urine et de tissus pour plusieurs hôpitaux du sud de l'Angleterre. L'attaque désorganise la chaîne de soins au point de faire reporter plus d'un millier d'opérations. Les données exfiltrées — noms, dates de naissance et résultats d'examens — sont ensuite publiées sur le dark web, selon Synnovis « à la hâte et de manière aléatoire ».

Le travail forensique a pris du temps. Il aura fallu près de dix-huit mois pour que Synnovis identifie précisément les données touchées et commence à prévenir les organisations clientes en aval. Le Mid and South Essex NHS Foundation Trust — qui exploite les hôpitaux de Broomfield (Chelmsford), Basildon et Southend — a été averti en décembre 2025 et travaille désormais à contacter les patients concernés. Il n'est pas le seul : la semaine précédente, le Bedfordshire Hospitals NHS Foundation Trust révélait près de 33 000 dossiers volés dans la même attaque. Le décompte global de la brèche Synnovis continue de grossir, établissement par établissement.

Pourquoi c'est important

L'affaire est britannique, mais la mécanique est strictement européenne. Une organisation confie le traitement de données de santé — des données sensibles relevant de l'article 9 du RGPD — à un sous-traitant spécialisé. Ce dernier se fait pirater. Et c'est pourtant le responsable de traitement qui demeure comptable, devant l'autorité de contrôle comme devant les personnes concernées. Confier un traitement n'a jamais transféré la responsabilité : c'est tout l'objet de l'article 28 du RGPD, qui impose un contrat de sous-traitance précis et des garanties documentées.

Le scénario n'a rien d'isolé. La CNIL a d'ailleurs publié son propre cas type de violation chez un sous-traitant pour outiller DPO et RSSI sur la double notification et l'organisation de crise. Quelques semaines plus tôt, c'est une fuite via un prestataire de facturation dans des hôpitaux allemands qui illustrait le même risque de chaîne d'approvisionnement. Et l'épisode ChipSoft rappelait qu'aucune promesse de « destruction » des données par les attaquants ne dispense de traiter la perte de confidentialité. Le maillon faible, dans le secteur de la santé, est presque toujours le tiers.

Le vrai sujet, ici, est celui du temps. Dix-huit mois entre l'incident et l'information du client final, c'est l'exact opposé de la logique des 72 heures inscrite à l'article 33 du RGPD. Or ce délai ne court pas pour le sous-traitant seul : dès qu'un responsable de traitement « a connaissance » de la violation, son propre compteur démarre. Une notification tardive en cascade fragilise toute la chaîne, et expose chaque organisation cliente à devoir justifier, a posteriori, pourquoi elle n'a rien su pendant si longtemps.

Ce que ça change pour les organisations

Pour un DPO européen, l'affaire Synnovis se lit comme une liste de contrôle concrète. D'abord, cartographier et hiérarchiser ses sous-traitants : un prestataire qui traite des données de santé n'a pas le même profil de risque qu'un outil bureautique. Notre guide pour auditer ses sous-traitants détaille la méthode, et celui sur les obligations du sous-traitant B2B aide à savoir ce qu'on est en droit d'exiger.

Ensuite, durcir les clauses contractuelles : le DPA doit imposer au sous-traitant une notification rapide et chiffrée de tout incident — pas « dès la fin de l'enquête », mais sans délai injustifié — et organiser l'accès du responsable de traitement aux éléments forensiques. Enfin, préparer la chaîne d'incident en amont : qui notifie qui, dans quel ordre, sous quel format, et comment documenter le tout pour démontrer sa diligence. Un dossier de violation ouvert tôt vaut mieux qu'une justification improvisée devant l'autorité.

Ce que Leto pense de cette affaire

Le scandale n'est pas qu'un hôpital se soit fait pirater via un laboratoire : c'est que dix-huit mois aient pu s'écouler avant que les patients soient prévenus. Externaliser un traitement de données de santé est légitime et souvent nécessaire. Mais externaliser sans contractualiser des délais de notification fermes, sans auditer la robustesse du tiers, et sans répéter la chaîne de crise, revient à externaliser un risque que le RGPD, lui, ne délègue jamais. La conformité du sous-traitant n'est pas une formalité commerciale : c'est la première ligne de défense du responsable de traitement.

Sources : The Register, Computer Weekly, DataBreaches.net.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026