Sanction RGPD : un éditeur de logiciel sanctionné à 1,5 million d'euros d'amende pour fuite de données de santé

Sanction RGPD : un éditeur de logiciel sanctionné à 1,5 million d'euros d'amende pour fuite de données de santé
Estelle Penin

Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE à hauteur de 1,5 million d'euros d'amende à la suite d'une fuite de données médicales de plus de 500 000 français.

DEDALUS BIOLOGIE est une société européenne d'édition de logiciels de gestion des données de santé. Elle commercialise notamment des logiciels applicatifs à destination de de laboratoires d’analyses médicales.

L'origine des faits

Le 23 février 2021, l'article de presse "Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne" a été publié par le journal Libération.

Cet article de presse faisait référence à une base de données, en libre accès depuis un forum de discussion dès la mi-février 2021, dans laquelle des informations médicales sensibles concernant 500 000 français étaient renseignées.

On trouvait notamment : le nom, prénom, adresse postale, numéro de téléphone, adresse e-mail, groupe sanguin, numéro de sécurité sociale, données cancérologiques, génétiques, de grossesses, données génétiques...

Dès le 24 février, la CNIL a entamé divers contrôles auprès de la société DEDALUS BIOLOGIE.

L'accès au site a également été bloqué par une décision du 4 mars 2021 par le tribunal judiciaire de Paris.
Cette décision a considérablement participé à limiter les conséquences pour les personnes concernées par la fuite des données.

Les manquements

A la suite des contrôles effectués par la CNIL, la formation restreinte de la CNIL constate plusieurs manquements aux obligations prévues par le RGPD :

L'obligation d'assurer la sécurité des données personnelles


Dans le cadre de la migration d'un logiciel vers un autre, la CNIL relève l'absence de procédure :

  • de chiffrement des données personnelles stockées sur le serveur problématique
  • d’effacement automatique des données après migration vers l’autre logiciel
  • d’authentification requise depuis internet pour accéder à la zone publique du serveur

La CNIL constate également :

  • l'utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur
  • l'absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur

En l'absence de telles mesures de sécurité techniques et organisationnelles, la société DEDALUS BIOLOGIE n'assure pas la sécurité des données personnelles, une des causes de la violation de données.

Adoptez une gestion par les risques avec Dastra

L’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement


La formation restreinte relève, que au moment des contrôles, la société DEDALUS BIOLOGIE n'est pas conforme à l'article 28-3 du RGPD.

En effet, divers actes juridiques ne comportant pas les mentions requises : conditions générales de vente, contrats de maintenance, contrats d'assistance et de maintenance, contrats de sous-traitance.

Ainsi, la formation restreinte de la CNIL considère que ces faits constituent un manquement à l’article 28-3 du RGPD.

L’obligation pour le sous-traitant de respecter les instructions du responsable de traitement


Deux laboratoires utilisent les services de la société DEDALUS BIOLOGIE et demandent la migration d'un logiciel vers un autre outil.

Lors de cette migration, la société DEDALUS BIOLOGIE a extrait un volume de données plus important que celui requis.

La société DEDALUS BIOLOGIE a donc traité des données au-delà des instructions données par les responsables de traitement.

Ainsi, la formation restreinte de la CNIL considère que ces faits qui constituent un manquement à l’article 29 du RGPD.

Vérifiez et contrôlez la conformité de votre structure et de vos acteurs avec Dastra

La sanction

Vu les faits précités, la formation restreinte de la CNIL a prononcé une amende de 1,5 million d’euros et a décidé de rendre publique sa décision.

Etablissez votre diagnostic de conformité RGPD avec Dastra


newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Les services de la société d’information

Qu'est ce qu'un service de la société de l'information ?

Hugo Deguillaume

Les motifs légitimes et impérieux

Quels sont les motifs légitimes et impérieux dans le RGPD ?

Hugo Deguillaume

Données génétiques

Comment définir les données génétiques ?

Hugo Deguillaume

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement