Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE à hauteur de 1,5 million d'euros d'amende à la suite d'une fuite de données médicales de plus de 500 000 français.
DEDALUS BIOLOGIE est une société européenne d'édition de logiciels de gestion des données de santé. Elle commercialise notamment des logiciels applicatifs à destination de de laboratoires d’analyses médicales.
L'origine des faits
Le 23 février 2021, l'article de presse "Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne" a été publié par le journal Libération.
Cet article de presse faisait référence à une base de données, en libre accès depuis un forum de discussion dès la mi-février 2021, dans laquelle des informations médicales sensibles concernant 500 000 français étaient renseignées.
On trouvait notamment : le nom, prénom, adresse postale, numéro de téléphone, adresse e-mail, groupe sanguin, numéro de sécurité sociale, données cancérologiques, génétiques, de grossesses, données génétiques...
Dès le 24 février, la CNIL a entamé divers contrôles auprès de la société DEDALUS BIOLOGIE.
L'accès au site a également été bloqué par une décision du 4 mars 2021 par le tribunal judiciaire de Paris.
Cette décision a considérablement participé à limiter les conséquences pour les personnes concernées par la fuite des données.
Les manquements
A la suite des contrôles effectués par la CNIL, la formation restreinte de la CNIL constate plusieurs manquements aux obligations prévues par le RGPD :
L'obligation d'assurer la sécurité des données personnelles
Dans le cadre de la migration d'un logiciel vers un autre, la CNIL relève l'absence de procédure :
- de chiffrement des données personnelles stockées sur le serveur problématique
- d’effacement automatique des données après migration vers l’autre logiciel
- d’authentification requise depuis internet pour accéder à la zone publique du serveur
La CNIL constate également :
- l'utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur
- l'absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur
En l'absence de telles mesures de sécurité techniques et organisationnelles, la société DEDALUS BIOLOGIE n'assure pas la sécurité des données personnelles, une des causes de la violation de données.
L’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement
La formation restreinte relève, que au moment des contrôles, la société DEDALUS BIOLOGIE n'est pas conforme à l'article 28-3 du RGPD.
En effet, divers actes juridiques ne comportant pas les mentions requises : conditions générales de vente, contrats de maintenance, contrats d'assistance et de maintenance, contrats de sous-traitance.
Ainsi, la formation restreinte de la CNIL considère que ces faits constituent un manquement à l’article 28-3 du RGPD.
L’obligation pour le sous-traitant de respecter les instructions du responsable de traitement
Deux laboratoires utilisent les services de la société DEDALUS BIOLOGIE et demandent la migration d'un logiciel vers un autre outil.
Lors de cette migration, la société DEDALUS BIOLOGIE a extrait un volume de données plus important que celui requis.
La société DEDALUS BIOLOGIE a donc traité des données au-delà des instructions données par les responsables de traitement.
Ainsi, la formation restreinte de la CNIL considère que ces faits qui constituent un manquement à l’article 29 du RGPD.
Vérifiez et contrôlez la conformité de votre structure et de vos acteurs avec Dastra
La sanction
Vu les faits précités, la formation restreinte de la CNIL a prononcé une amende de 1,5 million d’euros et a décidé de rendre publique sa décision.