[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"guide_fuite-de-donnees-de-sante-dedalus-sanctionnee-a-1-5-million-deuros-damende_52039":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":4,"state":15,"author":16,"authorId":17,"datePublication":21,"dateCreation":22,"dateUpdate":23,"mainCategory":24,"categories":31,"metaDatas":34,"imageUrl":39,"imageThumbUrls":40,"id":48},false,"Le **15 avril 2022**, la formation restreinte de la **CNIL** a sanctionné la société **DEDALUS BIOLOGIE** à hauteur de **1,5 million d'euros d'amende** à la suite d'une **fuite de données médicales de plus de 500 000 français.**\r\n\r\n**DEDALUS BIOLOGIE** est une société européenne d'**édition de logiciels de gestion des données de santé**. Elle commercialise notamment des **logiciels applicatifs à destination de de laboratoires d’analyses médicales**.\r\n\r\n## L'origine des faits\r\n\r\nLe 23 février 2021, l'article de presse \"***Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne***\" a été publié par le journal Libération.\r\n\r\nCet article de presse faisait référence à une **base de données**, en **libre accès** depuis un **forum de discussion** dès la mi-février 2021, dans laquelle des **informations médicales sensibles concernant 500 000 français étaient renseignées**.\r\n\r\n> On trouvait notamment : le nom, prénom, adresse postale, numéro de téléphone, adresse e-mail, groupe sanguin, numéro de sécurité sociale, données cancérologiques, génétiques, de grossesses, données génétiques...\r\n\r\nDès le 24 février, la CNIL a entamé divers **contrôles auprès de la société DEDALUS BIOLOGIE**.\r\n\r\nL'**accès au site a également été bloqué** par une **décision du 4 mars 2021 par le tribunal judiciaire de Paris**.Cette décision a considérablement participé à **limiter les conséquences pour les personnes concernées par la fuite des données**.\r\n\r\n## Les manquements\r\n\r\nA la suite des contrôles effectués par la CNIL, la formation restreinte de la CNIL constate plusieurs **manquements** aux obligations prévues par le RGPD :\r\n\r\n### L'obligation d'assurer la sécurité des données personnelles\r\n\r\n---\r\n\r\nDans le cadre de la migration d'un logiciel vers un autre, la CNIL relève l'absence de procédure :\r\n\r\n- de **chiffrement** des données personnelles stockées sur le serveur problématique\r\n- d’**effacement** automatique des données après migration vers l’autre logiciel\r\n- d’**authentification** requise depuis internet pour accéder à la zone publique du serveur\r\n\r\nLa CNIL constate également :\r\n\r\n- l'**utilisation de comptes utilisateurs partagés** entre plusieurs salariés sur la zone privée du serveur\r\n- l'**absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur**\r\n\r\nEn l'absence de telles **mesures de sécurité techniques et organisationnelles**, la société DEDALUS BIOLOGIE **n'assure pas la [sécurité des données personnelles](https://www.dastra.eu/fr/guide/mesure-technique-et-organisationnelle-de-securite--rgpd/367)**, **une des causes de la violation de données.**\r\n\r\n> [Adoptez une gestion par les risques avec Dastra](https://www.dastra.eu/fr/)\r\n\r\n### L’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement\r\n\r\n---\r\n\r\nLa formation restreinte relève, que au moment des contrôles, la société DEDALUS BIOLOGIE n'est **pas conforme à l'article 28-3 du RGPD**.\r\n\r\n> En effet, **divers actes juridiques ne comportant pas les mentions requises** : conditions générales de vente, contrats de maintenance, contrats d'assistance et de maintenance, contrats de sous-traitance.\r\n\r\nAinsi, la formation restreinte de la CNIL considère que ces faits constituent un **manquement à l’article 28-3 du RGPD**.\r\n\r\n### L’obligation pour le sous-traitant de respecter les instructions du responsable de traitement\r\n\r\n---\r\n\r\nDeux laboratoires utilisent les services de la société DEDALUS BIOLOGIE et demandent la **migration d'un logiciel vers un autre outil**.\r\n\r\nLors de cette migration, la société DEDALUS BIOLOGIE a **extrait un volume de données plus important que celui requis**.\r\n\r\nLa société DEDALUS BIOLOGIE a donc **traité des données au-delà des instructions données par les [responsables de traitement](https://www.dastra.eu/fr/guide/responsable-de-traitement/392)**.\r\n\r\nAinsi, la formation restreinte de la CNIL considère que ces faits qui constituent un **manquement à l’article 29 du RGPD**.\r\n\r\n> [Vérifiez et contrôlez la conformité de votre structure et de vos acteurs avec Dastra](https://www.dastra.eu/fr/)\r\n\r\n## La sanction\r\n\r\nVu les faits précités, la **formation restreinte de la CNIL a prononcé une amende de 1,5 million d’euros et a décidé de rendre publique sa décision**.\r\n\r\n> [Etablissez votre diagnostic de conformité RGPD avec Dastra](https://www.dastra.eu/fr/)","\u003Cp>Le \u003Cstrong>15 avril 2022\u003C/strong>, la formation restreinte de la \u003Cstrong>CNIL\u003C/strong> a sanctionné la société \u003Cstrong>DEDALUS BIOLOGIE\u003C/strong> à hauteur de \u003Cstrong>1,5 million d'euros d'amende\u003C/strong> à la suite d'une \u003Cstrong>fuite de données médicales de plus de 500 000 français.\u003C/strong>\u003C/p>\r\n\u003Cp>\u003Cstrong>DEDALUS BIOLOGIE\u003C/strong> est une société européenne d'\u003Cstrong>édition de logiciels de gestion des données de santé\u003C/strong>. Elle commercialise notamment des \u003Cstrong>logiciels applicatifs à destination de de laboratoires d’analyses médicales\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"lorigine-des-faits\">L'origine des faits\u003C/h2>\r\n\u003Cp>Le 23 février 2021, l'article de presse \"\u003Cem>\u003Cstrong>Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne\u003C/strong>\u003C/em>\" a été publié par le journal Libération.\u003C/p>\r\n\u003Cp>Cet article de presse faisait référence à une \u003Cstrong>base de données\u003C/strong>, en \u003Cstrong>libre accès\u003C/strong> depuis un \u003Cstrong>forum de discussion\u003C/strong> dès la mi-février 2021, dans laquelle des \u003Cstrong>informations médicales sensibles concernant 500 000 français étaient renseignées\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>On trouvait notamment : le nom, prénom, adresse postale, numéro de téléphone, adresse e-mail, groupe sanguin, numéro de sécurité sociale, données cancérologiques, génétiques, de grossesses, données génétiques...\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cp>Dès le 24 février, la CNIL a entamé divers \u003Cstrong>contrôles auprès de la société DEDALUS BIOLOGIE\u003C/strong>.\u003C/p>\r\n\u003Cp>L'\u003Cstrong>accès au site a également été bloqué\u003C/strong> par une \u003Cstrong>décision du 4 mars 2021 par le tribunal judiciaire de Paris\u003C/strong>.\u003Cbr />\r\nCette décision a considérablement participé à \u003Cstrong>limiter les conséquences pour les personnes concernées par la fuite des données\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"les-manquements\">Les manquements\u003C/h2>\r\n\u003Cp>A la suite des contrôles effectués par la CNIL, la formation restreinte de la CNIL constate plusieurs \u003Cstrong>manquements\u003C/strong> aux obligations prévues par le RGPD :\u003C/p>\r\n\u003Ch3 id=\"lobligation-dassurer-la-securite-des-donnees-personnelles\">L'obligation d'assurer la sécurité des données personnelles\u003C/h3>\r\n\u003Chr />\r\n\u003Cp>Dans le cadre de la migration d'un logiciel vers un autre, la CNIL relève l'absence de procédure :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>de \u003Cstrong>chiffrement\u003C/strong> des données personnelles stockées sur le serveur problématique\u003C/li>\r\n\u003Cli>d’\u003Cstrong>effacement\u003C/strong> automatique des données après migration vers l’autre logiciel\u003C/li>\r\n\u003Cli>d’\u003Cstrong>authentification\u003C/strong> requise depuis internet pour accéder à la zone publique du serveur\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>La CNIL constate également :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>l'\u003Cstrong>utilisation de comptes utilisateurs partagés\u003C/strong> entre plusieurs salariés sur la zone privée du serveur\u003C/li>\r\n\u003Cli>l'\u003Cstrong>absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur\u003C/strong>\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>En l'absence de telles \u003Cstrong>mesures de sécurité techniques et organisationnelles\u003C/strong>, la société DEDALUS BIOLOGIE \u003Cstrong>n'assure pas la \u003Ca href=\"https://www.dastra.eu/fr/guide/mesure-technique-et-organisationnelle-de-securite--rgpd/367\">sécurité des données personnelles\u003C/a>\u003C/strong>, \u003Cstrong>une des causes de la violation de données.\u003C/strong>\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/\">Adoptez une gestion par les risques avec Dastra\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"lobligation-dencadrer-par-un-acte-juridique-formalise-les-traitements-effectues-pour-le-compte-du-responsable-de-traitement\">L’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement\u003C/h3>\r\n\u003Chr />\r\n\u003Cp>La formation restreinte relève, que au moment des contrôles, la société DEDALUS BIOLOGIE n'est \u003Cstrong>pas conforme à l'article 28-3 du RGPD\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>En effet, \u003Cstrong>divers actes juridiques ne comportant pas les mentions requises\u003C/strong> : conditions générales de vente, contrats de maintenance, contrats d'assistance et de maintenance, contrats de sous-traitance.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cp>Ainsi, la formation restreinte de la CNIL considère que ces faits constituent un \u003Cstrong>manquement à l’article 28-3 du RGPD\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"lobligation-pour-le-sous-traitant-de-respecter-les-instructions-du-responsable-de-traitement\">L’obligation pour le sous-traitant de respecter les instructions du responsable de traitement\u003C/h3>\r\n\u003Chr />\r\n\u003Cp>Deux laboratoires utilisent les services de la société DEDALUS BIOLOGIE et demandent la \u003Cstrong>migration d'un logiciel vers un autre outil\u003C/strong>.\u003C/p>\r\n\u003Cp>Lors de cette migration, la société DEDALUS BIOLOGIE a \u003Cstrong>extrait un volume de données plus important que celui requis\u003C/strong>.\u003C/p>\r\n\u003Cp>La société DEDALUS BIOLOGIE a donc \u003Cstrong>traité des données au-delà des instructions données par les \u003Ca href=\"https://www.dastra.eu/fr/guide/responsable-de-traitement/392\">responsables de traitement\u003C/a>\u003C/strong>.\u003C/p>\r\n\u003Cp>Ainsi, la formation restreinte de la CNIL considère que ces faits qui constituent un \u003Cstrong>manquement à l’article 29 du RGPD\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/\">Vérifiez et contrôlez la conformité de votre structure et de vos acteurs avec Dastra\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"la-sanction\">La sanction\u003C/h2>\r\n\u003Cp>Vu les faits précités, la \u003Cstrong>formation restreinte de la CNIL a prononcé une amende de 1,5 million d’euros et a décidé de rendre publique sa décision\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/\">Etablissez votre diagnostic de conformité RGPD avec Dastra\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n",null,656,4,"Sanction RGPD : un éditeur de logiciel sanctionné à 1,5 million d'euros d'amende pour fuite de données de santé",0,"fr","fuite-de-donnees-de-sante-dedalus-sanctionnee-a-1-5-million-deuros-damende","Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné Dedalus à hauteur de 1,5 million d'euros d'amende à la suite d'une fuite de données médicales de plus de 500 000 personnes","Published",{"id":17,"displayName":18,"avatarUrl":19,"bio":7,"blogUrl":7,"color":7,"userId":17,"creationDate":20},654,"Estelle Penin","https://static.dastra.eu/tenant-3/avatar/654/microsoftteams-image-3-modifie-150.png","2022-06-20T10:17:59","2022-05-23T07:53:00","2022-05-23T08:45:40.7036939","2025-08-27T09:26:50.0067494",{"id":25,"name":26,"description":7,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":29,"translations":30},23,"Base de connaissance","guide","#1f9323",1,[],[32],{"id":25,"name":26,"description":7,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":29,"translations":33},[],[35],{"typeMetaDataId":36,"value":37,"id":38},2,"https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368?init=true&page=1&query=san-2022-009&searchField=ALL&tab_selection=all",103394,"https://static.dastra.eu/content/52ce14c3-43e5-4971-a928-d4586952d037/capture-dcran-2022-05-19-183746-1000.png",[41,42,43,44,45,46,47],"https://static.dastra.eu/content/52ce14c3-43e5-4971-a928-d4586952d037/capture-dcran-2022-05-19-183746-1000.webp","https://static.dastra.eu/content/52ce14c3-43e5-4971-a928-d4586952d037/capture-dcran-2022-05-19-183746.webp","https://static.dastra.eu/content/52ce14c3-43e5-4971-a928-d4586952d037/capture-dcran-2022-05-19-183746-1500.webp","https://static.dastra.eu/content/52ce14c3-43e5-4971-a928-d4586952d037/capture-dcran-2022-05-19-183746-800.webp","https://static.dastra.eu/content/52ce14c3-43e5-4971-a928-d4586952d037/capture-dcran-2022-05-19-183746-600.webp","https://static.dastra.eu/content/52ce14c3-43e5-4971-a928-d4586952d037/capture-dcran-2022-05-19-183746-300.webp","https://static.dastra.eu/content/52ce14c3-43e5-4971-a928-d4586952d037/capture-dcran-2022-05-19-183746-100.webp",52039]