La formation restreinte de la Commission nationale de l'informatique et des libertés (Cnil) a infligé une amende de 1,5 million d’euros à Dedalus Biologie qui s’est rendu responsable d’une fuite de données médicales concernant près de 500 000 personnes.
La Cnil sanctionne une importante fuite de données de santé
En février dernier, les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen mais surtout certaines des informations médicales de presque 500 000 personnes ont été diffusés sur Internet. Mis en cause, Dedalus Biologie (qui commercialise des logiciels à des laboratoires d’analyse médicale) a alors fait l’objet de plusieurs contrôles réalisés par la Cnil. Ayant ainsi constaté plusieurs manquements au Règlement général sur la protection des données (RGPD), l’Autorité a prononcé une amende de 1,5 million d’euros à l’encontre de la société, un montant qu’elle a fixé au regard de la gravité des faits et du chiffre d’affaires de cette dernière. Peu de temps après la fuite des données en ligne, le régulateur avait également obtenu le blocage de l’accès au site sur lequel elles étaient publiées.
De graves manquements
La Cnil a tout d’abord constaté une violation de l’article 29 du RGPD par Dedalus Biologie. En tant que sous-traitant des laboratoires utilisant ses services, l’éditeur de logiciels a l’obligation de respecter les instructions de ses clients car ils sont les responsables des traitements de données. Or, dans le cadre de la migration d’un logiciel vers un autre outil demandée par deux de ses clients, la société a extrait un volume de données plus important que celui requis et n’a donc pas respecté cette obligation. L’Autorité a également relevé que les conditions générales de vente proposées par Dedalus Biologie ainsi que ses contrats de maintenance ne contenaient pas les mentions obligatoires prévues par l’article 28-3 du RGPD.
Enfin, de graves et nombreuses failles concernant la sécurité des opérations de migration du logiciel de Dedalus Biologie vers un autre logiciel ont été établies. La société a ainsi manqué à son obligation, en tant que sous-traitant, d’assurer la sécurité des données personnelles, comme prévu par l’article 32 du RGPD. La Cnil a par exemple relevé l’absence de chiffrement des données personnelles stockées sur le serveur problématique, l’absence d’effacement automatique des données après migration vers l’autre logiciel ou encore l’absence de procédures de supervision et de remontées d’alertes de sécurité sur le serveur. Selon le régulateur, ces manquements techniques et organisationnels ont été les principales causes de la fuite de données médico-administratives.
