Fuite de données de santé, la société Dedalus Biologie sanctionnée par la Cnil


La Cnil inflige une amende de 1,5 million d’euros à la société Dedalus Biologie qui commercialise des logiciels à destination des laboratoires d’analyse médicale. De nombreux défauts de sécurité avaient conduit en février 2021 à la fuite de données médicales de près de 500 000 personnes. Les fuites de données ont eu lieu lors de migrations entre logiciels qui ont été particulièrement mal effectuées par Dedalus, au vu du réquisitoire de la Cnil.

Des informations médicales personnelles publiées sur internet

Pour mémoire, le 23 février 2021, une fuite de données massive concernant près de 500 000 personnes a été révélée dans la presse, qui mettait en cause la société Dedalus. Les informations dérobées et diffusées sur internet concernent l’identité (nom, prénom, numéro de sécurité sociale), le nom du médecin prescripteur, la date de l’examen ainsi que les informations médicales associées (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux). Les données génétiques des personnes ont également fuité. 

Le montant de l’amende tient compte du chiffre d’affaires de Dedalus Biologie

La Cnil considère que Dedalus Biologie a manqué à plusieurs obligations prévues par le RGPD, en particulier à l’obligation d’assurer la sécurité des données personnelles. Le montant de l’amende tient compte du chiffre d’affaires de Dedalus Biologie. Dans le détail, la Cnil sanctionne le manquement à l’obligation pour le sous-traitant – Dedalus Biologie – de respecter les instructions du responsable de traitement (article 29 du RGPD).

Plus précisément, il s’agit du fait que lors de la migration d’un logiciel vers un autre outil, qui avait été demandée par deux laboratoires d’analyses utilisant les services de Dedalus Biologie, ce dernier a extrait un volume de données plus important que celui requis. La société a donc traité des données au-delà des instructions fixées par les responsables de traitement.

Des manquements en sécurité lors d’une migration de logiciel

De plus, Dedalus Biologie a manqué à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). Cela concerne de nombreux manquements techniques et organisationnels en matière de sécurité qui ont eu lieu lors des opérations de migration du logiciel vers un autre. La Cnil constate l’absence de procédure spécifique pour les opérations de migration de données et l’absence de chiffrement des données personnelles stockées sur le serveur problématique.

La Cnil pointe l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur

De plus, la Cnil pointe l’absence d’effacement automatique des données après migration vers l’autre logiciel ; l’absence d’authentification requise depuis internet pour accéder à la zone publique du serveur ; l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur et l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

La Cnil considère que cette absence de mesures de sécurité satisfaisantes est l’une des causes de la violation de données qui a compromis les données médico-administratives de près de 500 000 personnes. Enfin, la Cnil retient un manquement de Dedalus Biologie à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD). Les conditions générales de vente proposées par la société DEDALUS BIOLOGIE et les contrats de maintenance transmis à la CNIL ne contiennent pas les mentions prévues par l’article 28-3 du RGPD.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *