Le 23 février 2021, un article de presse révélait la fuite de données médico-administratives de près de 500 000 personnes. Parmi les données personnelles dérobées se trouvaient les noms, prénoms et numéros de sécurité sociale des patients mais aussi et surtout des données relatives à leur état de santé. Le 24 février 2021, la CNIL procédait à plusieurs contrôles, sur place et sur pièces, notamment auprès de la société DEDALUS BIOLOGIE, société commercialisant des logiciels à destination des laboratoires d’analyses et de sa maison mère DEDALUS France. Ces contrôles ayant révélé l’existence de plusieurs manquements au RGPD, la formation restreinte de la CNIL prononce le 15 avril dernier une amende administrative de 1,5 millions d’euros à l’encontre de la société DEDALUS BIOLOGIE.
La formation restreinte considère que DEDALUS BIOLOGIE, en tant que sous-traitant au sens du règlement général sur la protection des données, a échoué à encadrer ses relations avec les laboratoires clients conformément à l’article 28(3) du RGPD [1]. En effet, la société transmettait aux laboratoires responsables de traitement des conditions générales de vente et des contrats de maintenance ne contenant pas l’ensemble des dispositions prévues par l’article 28 du règlement [2]. La CNIL rappelle ici que l’obligation prévue au paragraphe 3 de l’article 28 est de portée générale et s’adresse au responsable de traitement comme au sous-traitant.
D’autre part, DEDALUS BIOLOGIE avait procédé à l’extraction d’une quantité de données personnelles non-nécessaires en vue des opérations de migration entreprises pour le compte de ses clients. La formation restreinte de la CNIL considère qu’il s’agit là d’une violation de l’article 29 du RGPD, qui énonce l’obligation du sous-traitant de ne traiter les données que sur instruction du responsable de traitement [3]. DEDALUS BIOLOGIE se prévalait de la vétusté de son logiciel de migration, arguant que ses limitations techniques ne lui permettaient pas de limiter les traitements de données personnelles à ce qui était expressément demandé par ses clients [4]. Sans surprise, la formation restreinte rejette cette justification, la société n’ayant pas recherché un outil plus adapté ni procédé à la suppression des données collectées à tort [5].
La formation restreinte vise spécifiquement les opérations de migration de données réalisées par la société DEDALUS BIOLOGIE [6]. Elle note qu’aucune procedure ni mesure de sécurité spécifique n’était mise en place afin d’encadrer ces transferts et des données de santé étaient donc transmises « en clair », sans chiffrement [7]. De plus, la société, qui avait eu connaissance à la suite d’alertes remontées par ses salariés de risques importants d’intrusion, n’avait pas effectué les diligences suffisantes afin de prévenir la fuite révélée en février 2021 [8]. De surcroit, DEDALUS BIOLOGIE conservait les jeux de données objet de la migration vers un logiciel en plusieurs endroits et ne procédait pas immédiatement à leur suppression là où elles ne s’avéraient plus nécessaires [9]. Il est aussi relevé que le serveur utilisé n’était pas suffisamment sécurisé [10], puisqu’il pouvait en certaines circonstances être consulté librement depuis internet. Les salariés faisaient également courir un risque inutile à la confidentialité des données stockées sur ce serveur en partageant entre eux les accès sécurisés [11].
A l’appui du prononcé de la sanction, la formation restreinte de la CNIL souligne dans un premier temps le nombre ainsi que la gravité des négligences ayant causé les défauts de sécurité constatés [12]. Par ailleurs, elle note que les données objet de la violation sont particulièrement sensibles, puisqu’elles concernaient pour certaines des maladies génétiques, des maladies graves tels que des cancers ou des infections sexuellement transmissibles, rendant les personnes concernées particulièrement vulnérables aux attaques dites par hameçonnage [13]. Enfin, bien que la société ait fait preuve de coopération, elle n’a pas tenté de faire cesser la diffusion des fichiers dérobés, la CNIL ayant dû elle-même y procéder par voie de référé [14].
Au regard de ces éléments ainsi que de l’ensemble des manquements constatés, la formation restreinte de la CNIL a choisi de prononcer une amende administrative d’1,5 millions d’euros sur le fondement de l’article 83 du RGPD.
[1] Délibération SAN-2022-009 du 15 avril 2022, points 33 et 34.
[2] Point 36.
[3] Points 39 et 40.
[4] Point 41.
[5] Point 49.
[6] Point 60.
[7] Ibid.
[8] Point 61.
[9] Point 63.
[10] Point 64.
[11] Ibid.
[12] Points 75 et 76.
[13] Point 76.
[14] Point 78.