La Cnil inflige une amende de 1,5 million d’euros à la société Dedalus Biologie qui commercialise des logiciels à destination des laboratoires d’analyse médicale. De nombreux défauts de sécurité avaient conduit en février 2021 à la fuite de données médicales de près de 500 000 personnes. Les fuites de données ont eu lieu lors de migrations entre logiciels qui ont été particulièrement mal effectuées par Dedalus, au vu du réquisitoire de la Cnil.
Des informations médicales personnelles publiées sur internet
Pour mémoire, le 23 février 2021, une fuite de données massive concernant près de 500 000 personnes a été révélée dans la presse, qui mettait en cause la société Dedalus. Les informations dérobées et diffusées sur internet concernent l’identité (nom, prénom, numéro de sécurité sociale), le nom du médecin prescripteur, la date de l’examen ainsi que les informations médicales associées (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux). Les données génétiques des personnes ont également fuité.
Le montant de l’amende tient compte du chiffre d’affaires de Dedalus Biologie
Plus précisément, il s’agit du fait que lors de la migration d’un logiciel vers un autre outil, qui avait été demandée par deux laboratoires d’analyses utilisant les services de Dedalus Biologie, ce dernier a extrait un volume de données plus important que celui requis. La société a donc traité des données au-delà des instructions fixées par les responsables de traitement.
Des manquements en sécurité lors d’une migration de logiciel
De plus, Dedalus Biologie a manqué à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). Cela concerne de nombreux manquements techniques et organisationnels en matière de sécurité qui ont eu lieu lors des opérations de migration du logiciel vers un autre. La Cnil constate l’absence de procédure spécifique pour les opérations de migration de données et l’absence de chiffrement des données personnelles stockées sur le serveur problématique.
La Cnil pointe l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur
La Cnil considère que cette absence de mesures de sécurité satisfaisantes est l’une des causes de la violation de données qui a compromis les données médico-administratives de près de 500 000 personnes. Enfin, la Cnil retient un manquement de Dedalus Biologie à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD). Les conditions générales de vente proposées par la société DEDALUS BIOLOGIE et les contrats de maintenance transmis à la CNIL ne contiennent pas les mentions prévues par l’article 28-3 du RGPD.