Novo Nordisk : la fuite de données d'essais cliniques rappelle que pseudonymiser n'est pas anonymiser

14/6/26
👈 les autres actualités

Novo Nordisk, géant pharmaceutique danois derrière l'Ozempic et le Wegovy, a annoncé le 11 juin 2026 une violation de données touchant des participants à certains de ses essais cliniques. L'incident, qui voit des données de santé pseudonymisées copiées hors des systèmes du laboratoire, rappelle une vérité que beaucoup de DPO préfèrent ignorer : pseudonymiser n'est pas anonymiser, et une donnée de santé reste une donnée sensible même sans le nom du patient.

Ce qui s'est passé

Dans une notification d'incident publiée le jeudi 11 juin, Novo Nordisk indique avoir identifié une atteinte à la sécurité affectant certains de ses systèmes informatiques internes. Au cours de l'enquête, le laboratoire a constaté que des données avaient été « copiées en externe sans autorisation ».

Les informations exposées concernent « un volume limité de données relatives à des patients participant à certains de nos essais cliniques ». Concrètement : identifiants patients (chaînes alphanumériques aléatoires), année de naissance, sexe, biomarqueurs, données de santé et d'immunogénicité, ainsi que des facteurs liés au mode de vie (tabagisme, consommation d'alcool, indice de masse corporelle). Novo insiste sur un point : les données étaient « dé-identifiées », sans noms ni « autres identifiants directs ».

Le laboratoire a mis certains systèmes internes hors ligne pour contenir l'incident, mobilisé des experts en cybersécurité externes et pris contact avec les autorités compétentes. Il recommande aux patients concernés de « rester vigilants » et de signaler tout élément inhabituel. Novo n'est pas un cas isolé : West Pharmaceutical Services et Stryker ont signalé des incidents cyber au cours des dernières semaines, confirmant que le secteur des sciences de la vie est devenu une cible de premier plan.

Pourquoi c'est important

L'argument de la « dé-identification » mérite d'être lu avec prudence. En droit, des données pseudonymisées — c'est-à-dire dont on a retiré les identifiants directs mais qui restent réattribuables à l'aide d'informations complémentaires — demeurent des données personnelles au sens de l'article 4 du RGPD (considérant 26). Elles ne deviennent anonymes, et donc hors champ du règlement, que lorsque la ré-identification est devenue raisonnablement impossible. Or des biomarqueurs et un profil de santé détaillé, croisés avec d'autres fuites, peuvent rouvrir cette porte. C'est exactement le mécanisme d'accumulation que la CNIL documente avec ses 6 167 violations enregistrées en 2025.

Surtout, les données d'essais cliniques relèvent de l'article 9 du RGPD : ce sont des données concernant la santé, soumises à une protection renforcée. Une violation portant sur ce type d'information déclenche les obligations les plus strictes, comme le rappelle notre guide sur la violation de données et la manière d'y réagir. Le scénario fait écho à d'autres affaires récentes, notamment la fuite touchant des hôpitaux allemands via un prestataire de facturation et l'exposition de données de santé chez Almerys : à chaque fois, des données sensibles sortent par un maillon que le responsable de traitement croyait maîtriser.

Ce que ça change pour les organisations

Pour un responsable de traitement opérant des essais cliniques ou manipulant des données de santé, l'incident Novo Nordisk se traduit en quatre réflexes concrets. D'abord, ne jamais présumer qu'une pseudonymisation suffit à neutraliser le risque : il faut documenter pourquoi les données restent (ou non) ré-identifiables, et calibrer les mesures de sécurité de l'article 32 en conséquence. Ensuite, activer sans délai la procédure de notification : violation portant sur des données de santé, l'analyse de risque pour les personnes doit être faite vite, car la notification à la CNIL sous 72 heures (article 33) et, le cas échéant, la communication aux personnes concernées (article 34) deviennent quasi systématiques pour ce type de catégorie.

Troisième réflexe : cartographier les sous-traitants et les flux. La majorité des fuites récentes transitent par un tiers, ce qui replace les clauses de l'article 28 et la solidité des contrats de sous-traitance au cœur du dispositif. Enfin, préparer la communication aux personnes : un message du type « restez vigilants » n'a de valeur que s'il est assorti d'informations exploitables. Notre guide pratique détaille les démarches à suivre dans les 72 heures lorsqu'on est victime d'une fuite.

Ce que Leto pense de cette décision

La gestion de Novo Nordisk est, sur la forme, plutôt exemplaire : notification rapide, transparence sur les catégories de données, mobilisation d'experts. Mais le réflexe de communication consistant à insister sur le caractère « dé-identifié » des données pour rassurer ne doit pas masquer la réalité juridique. Tant que la ré-identification reste possible, ces données sont protégées et la responsabilité du laboratoire est pleinement engagée. Pour les DPO, la leçon est claire : la pseudonymisation est une mesure de sécurité précieuse, pas un permis de baisser la garde. Le vrai sujet de 2026 n'est plus « est-ce que ça va arriver ? », mais « est-ce que notre procédure d'incident tient en conditions réelles ? ».

Sources : Fierce Pharma, Novo Nordisk — Incident update, BleepingComputer

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026