Le 23 février 2021, une fuite massive de données de près de 500 000 personnes a été révélée dans la presse, impliquant la société DEDALUS. Nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen, mais aussi et surtout des informations médicales (VIH, cancer, maladies génétiques, grossesse, grossesse, traitement médicamenteux suivi par le patient, ou encore données génétiques) de ce fait ces personnes se sont propagées sur Internet.
Depuis le 24 février 2021, la CNIL a réalisé plusieurs contrôles, notamment avec DEDALUS BIOLOGY qui propose des solutions logicielles pour les laboratoires d’analyses médicales.
Dans le même temps, la CNIL a poursuivi le tribunal de Paris, qui a bloqué l’accès au site où les données divulguées ont été publiées. Cette décision du 4 mars 2021 a permis de limiter les conséquences pour les personnes.
Sur la base des conclusions des inspections, la commission restreinte – l’organe de la CNIL chargé de prononcer les sanctions – a constaté que l’entreprise avait manqué à plusieurs obligations au titre du RGPD, notamment l’obligation d’assurer la sécurité des données personnelles.
Ainsi, la Commission limitée a infligé une amende de 1,5 million d’euros et a décidé de rendre sa décision publique. Le montant de cette amende est déterminé au regard de la gravité des manquements constatés, mais également en tenant compte du chiffre d’affaires de la société DEDALUS BIOLOGY.
Les infractions sont sanctionnées
Violation de l’obligation de la CPU de suivre les instructions de l’administrateur (article 29 du RGPD)
Dans le cadre de la migration d’un logiciel vers un autre outil demandé par deux laboratoires utilisant les services DEDALUS BIOLOGY, ces derniers ont extrait plus de données que nécessaire.
Par conséquent, la société a traité des données en dehors des instructions données par les responsables du traitement.
Violation de l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
De nombreuses failles de sécurité techniques et organisationnelles ont été commises à l’encontre de DEDALUS BIOLOGY dans le cadre d’opérations de migration d’un logiciel vers un autre :
- absence de procédure spécifique pour les opérations de migration de données ;
- absence de cryptage des données personnelles stockées sur le serveur problématique ;
- absence de suppression automatique des données après migration vers d’autres logiciels ;
- absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur ;
- utiliser des comptes utilisateurs partagés entre plusieurs employés dans l’espace privé du serveur ;
- absence de procédure de surveillance et d’escalade des signaux de sécurité sur le serveur.
Cette absence de mesures de sécurité satisfaisantes est l’une des raisons de la violation de données, qui compromet les données médicales et administratives de près de 500 000 personnes.
Violation de l’obligation de réglementer par un acte juridique formalisé le traitement effectué pour le compte du responsable du traitement des données personnelles (article 28 du RGPD)
Les conditions générales de vente proposées par DEDALUS BIOLOGY et les contrats de maintenance soumis à la CNIL ne contiennent pas les informations prévues à l’Art. 28-3 du RGPD.
Add Comment