Passer au contenu
  • Il n'y a aucune suggestion car le champ de recherche est vide.

[FAQ] Violation de données, que faire ?

Suite au volume important de messages reçus par WEDA après sa notification de la violation de données du 10 Novembre 2025, vous trouverez ci-après une FAQ correspondant aux demandes les plus courantes.  

WEDA – FAQ (Foire Aux Questions) 

Dois-je informer mes patients ? 

🔍 Au regard des conclusions des experts et de l’analyse d’impact réalisée par Weda, nous considérons qu’il n’existe pas d’obligation d’information individuelle des patients, en dehors des cas où des données de santé ont été compromises. 

💬 Une information peut néanmoins être réalisée à votre initiative dans une démarche de transparence.  

 

Retourner au sommaire

Sur quelle base juridique repose ce délai d’information des patients ? 

⚖️ Conformément à l’article 34 du Règlement général sur la protection des données, les personnes concernées doivent être informées lorsqu’une violation de données personnelles est susceptible d’engendrer un risque élevé pour leurs droits et libertés. 

✔️ L’appréciation de ce niveau de risque relève du responsable de traitement, c’est-à-dire du professionnel de santé, qui doit l’évaluer sous sa responsabilité. 

Retourner au sommaire

Quelles sont mes obligations suite à cet incident ?  

🧭 En tant que responsable de traitement, il appartient au professionnel de santé de : 

Évaluer, en sa qualité de professionnel de santé et sous sa responsabilité, si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, 

Mettre à jour ou clôturer toute notification déjà effectuée auprès de la CNIL, 

Informer, en sa qualité de professionnel de santé et sous sa responsabilité, les personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé. Weda considère qu’il n’existe pas d’obligation d’information individuelle des patients, en dehors des cas où des données de santé ont été compromises voir « Dois-je informer mes patients ? » 

📎 Les analyses réalisées par WEDA constituent une aide à la décision et ne se substituent pas à votre responsabilité en tant que responsable de traitement. 

Retourner au sommaire

WEDA peut-il réaliser la notification réglementaire pour mon compte ?  

❌ Non. 

WEDA intervient juridiquement en tant que sous-traitant. 
La réglementation (notamment le RGPD) ne permet pas à un sous-traitant d’effectuer cette notification à la place du responsable du traitement, c’est-à-dire vous ou votre structure.

Retourner au sommaire

Qui doit réaliser la notification réglementaire ?  

→ Vous êtes salarié d’une structure de santé 

La notification incombe uniquement à votre structure. 

→ Vous êtes en profession libérale 

Vous devez effectuer la notification. 

💡 Cas des libéraux en structure : la structure peut notifier au nom de tous les professionnels associés. 

🔎 Recommandation : que le gestionnaire du contrat et/ou le coordinateur WEDA réalise la notification pour l’ensemble des praticiens concernés du contrat. 

Retourner au sommaire

J’ai dépassé le délai légal de notification à réaliser auprès de la CNIL, que faire ?  

 Vous devez quand même notifier la CNIL. 
L’obligation reste active même en cas de retard. 

💡 Il est conseillé d’expliquer dans le formulaire les raisons du retard, notamment celles indiquées dans la notification reçue de WEDA. 

Retourner au sommaire

Est-ce que je risque quelque chose si je tarde trop à notifier la CNIL ?  

 La CNIL peut vous demander des justifications du retard. 
Cependant, le risque est limité car : 

  • WEDA a informé les utilisateurs le 14 novembre, très proche de l’échéance. 
  • Les contraintes techniques de l’incident ont retardé la transmission d’informations détaillées. 

📌 La CNIL a déjà connaissance de la situation via WEDA, ce qui limite l’exposition au risque si vous notifiez prochainement. 

Retourner au sommaire

Ma structure fait-elle partie des comptes ayant subi des activités anormales ?  

 WEDA ne divulgue pas l’identité des comptes concernés par mesure de confidentialité. 

📍 Cependant, l’incident dépasse les seuls comptes identifiés comme anormaux. 
→ Même sans activité suspecte détectée sur votre compte, vous êtes potentiellement concerné. 

Retourner au sommaire

Comment savoir si certains de mes patients sont concernés par l’incident et obtenir les informations nécessaires pour les informer ?

📨 Notification en cours :  WEDA informe actuellement, par e-mail, l’ensemble des professionnels de santé concernés par l’incident. Ces communications sont en cours d’envoi.  

💡 Ces informations permettent aux professionnels de santé concernés d’évaluer eux-mêmes les risques pour leurs patients et, si nécessaire, de les informer. En tant que sous-traitant, WEDA ne peut pas prendre cette décision à votre place, mais nous vous fournissons l’ensemble des éléments pour prendre une décision éclairée. 

Retourner au sommaire

Comment informer mes patients ?  

 ✉️ Le cas échéant, l’information doit être claire, concise et proportionnée au risque. 

Exemple de formulation :  

« Un incident de sécurité a été identifié et maîtrisé. Aucune action particulière n’est requise de votre part à ce titre, hormis la vigilance habituelle face aux messages suspects (notamment les tentatives de phishing). » 

Retourner au sommaire

 

Suis-je obligé(e) de déposer plainte ? 

❌ Non. Aucune obligation réglementaire n’impose un dépôt de plainte. 

🛡️ Un dépôt de plainte a été effectué par WEDA auprès des autorités compétentes. Cette démarche n’emporte aucune obligation pour vous d’engager une action similaire. 

Retourner au sommaire

Je n’ai pas reçu l’information réglementaire directement sur mon adresse mail, pourquoi ? 

WEDA a envoyé les communications aux adresses présentes dans son CRM (Logiciel de gestion de la relation clients), généralement celles associées au signataire du contrat. 

→ Il est possible que l’adresse d’exercice ou une autre adresse professionnelle n’ait pas été destinataire.

Vous pouvez retrouver les communications directement dans Weda en cliquant dans "Applicatifs" puis  " Les nouveautés de WEDA" 

Retourner au sommaire

WEDA peut-il prévenir les patients ? 

📩 Nous vous transmettons les informations nécessaires afin que vous puissiez, en tant que responsable de traitement et professionnel de santé, évaluer les risques et agir si vous le jugez nécessaire. 

Cependant, et notamment en application des dispositions du Code de la Santé Publique, Weda n’est malheureusement pas habilité à opérer une identification individuelle de l’ensemble de vos patients concernés par cet incident.  

Par conséquent, Weda est uniquement habilité à vous transmettre un fichier vous permettant, en votre qualité de responsable de traitement, de procéder à cette identification des patients concernés.  

Retourner au sommaire

 Conseils complémentaires : 

  • 🛡️ Il est recommandé de maintenir une vigilance dans l’usage des outils numériques et des communications électroniques, notamment face aux tentatives de phishing. 

    🔐 De manière générale, il est conseillé de : 

    utiliser des mots de passe robustes et uniques, 

    ne pas communiquer d’informations sensibles via des canaux non sécurisés, 

    vérifier l’authenticité des expéditeurs avant toute action, 

    signaler tout message ou comportement suspect, 

    appliquer les mises à jour de sécurité recommandées sur les systèmes utilisés. 

    🧭 Ces recommandations relèvent des bonnes pratiques en matière de sécurité des systèmes d’information et s’inscrivent dans une démarche globale de protection des données. 

    🔒 Pour sécuriser vos postes de travail, nous vous recommandons d’exécuter régulièrement un scan antivirus. 

    🎥 Nous vous invitons également à visionner le replay du webinaire du 13/02 « Protection des données de santé : bonnes pratiques et nouveaux standards de fiabilité des logiciels en ligne », qui présente des conseils pratiques pour sécuriser votre environnement. 

    👉Lien d’accès au replay : https://vimeo.com/1158796286/0bf94f5dfa?fl=pl&fe=sh 

Retourner au sommaire