03 66 72 26 33

Un sous-traitant (DEDALUS BIOLOGIE) sanctionné à hauteur de 1.500.000€ par la CNIL (15/04/2022)

Le 15 avril 2022, la CNIL sanctionne la société DEDALUS BIOLOGIE suite à une fuite de données médicales de près de 500.000 personnes, constituant un manquement aux articles 28, 29 et 32 du RGPD.

Contexte

La société DEDALUS BIOLOGIE (sous-traitant) commercialise des logiciels pour des laboratoires d’analyse médicale (responsables des traitements). Le 23 février 2021, la presse a mis en cause cette société pour fuite de données. En effet, un lien présent sur un forum laissait apparaître les données personnelles telles que :

  • Données d’identification : nom, prénoms, sexe, adresse postale, numéro de téléphone, adresse mail, date de naissance, date de dernière visite médicale, numéro de sécurité sociale
  • Informations relatives aux pathologies des patients (données sensibles)  : VIH, cancers, maladies génétiques, traitements médicamenteux, état de grossesse, données génétiques
  • Données d’identification du médecin prescripteur  : nom, prénom, adresse postale, numéro de téléphone, adresse électronique
  • Données relatives au préleveur : nom, prénom, adresse, numéro de téléphone
  • Données relatives à la mutuelle du patient : “Id tiers payant”, adresse postale, numéro de téléphone
  • Données d’utilisateur : identifiant et mot de passe

Suite à cela, la CNIL a effectué différents contrôles quant à l’origine de la fuite et en a finalement conclu à la responsabilité de la société DEDALUS BIOLOGIE.

Motifs

La CNIL a motivé sa décision en considérant que la société DEDALUS BIOLOGIE avait manqué à différentes obligations prévues par le RGPD :

Article 28 du RGPD
Le sous-traitant est responsable pour manquement à l’article 28 du RGPD s’il n’intègre pas les mentions obligatoires relatives aux traitements des données personnelles dans ses contrats (objet du traitement, nature, durée, finalité, type de données à caractère personnel, catégories de personnes concernées et obligations et droits du responsable de traitement).
En l’espèce, la société DEDALUS BIOLOGIE n’avait pas fait figurer ces mentions obligatoires dans ses contrats avec les laboratoires.
Article 29 du RGPD
Il est interdit au sous-traitant de traiter les données personnelles auxquelles il a accès, sauf si cela résulte d’une instruction de la part du responsable de traitement.
En l’espèce, lors de ses migrations logicielles, la société DEDALUS BIOLOGIE a extrait davantage de données que ce qui avait été visé par les laboratoires dans la liste de champ à extraire (stérilité, médicaments prescrits, etc.). Ce sont des données sensibles avec une protection renforcée.
Article 32 du RGPD
Le responsable de traitement et le sous-traitant doivent mette en œuvre des mesures efficaces afin de garantir la sécurité des données personnelles.
En l’espèce, les données médicales en cause sont des données sensibles, la société DEDALUS BIOLOGIE devait donc faire preuve d’une vigilance particulière en vertu de l’article 9 du RGPD. Cependant, la CNIL a pu constater de nombreux manquements  :

  • L’absence de chiffrement des données personnelles
  • L’absence de système d’effacement automatique des données après migration vers l’autre logiciel
  • L’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur
  • L’absence d’authentification requise depuis internet pour accéder à la zone publique du serveur
  • L’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur

Sanction

La CNIL a prononcé une sanction sévère à l’encontre de la société DEDALUS BIOLOGIE. En effet, la société DEDALUS BIOLOGIE est condamnée à payer une amende administrative d’un montant de 1.500.000€. Ce dernier correspond à son résultat net 2020, son chiffre d’affaires de la même année, assiette de calcul de la sanction, était lui de 16.300.000 €. Cette sanction correspond donc à près de trois fois le plafond alternatif proportionnel de 4% du chiffre d’affaires prévu par l’article 83 du RGPD mais reste sous le plafond alternatif forfaitaire de 20.000.000 €. En effet, le plafond alternatif le plus élevé peut être retenu par la CNIL. De plus, la CNIL prononce la publication nominative (puis anonyme au bout de 2 ans) de la présente décision sur les sites de la CNIL et de Légifrance.

Analyse

Cette décision peut sembler inédite de la part de la CNIL. Il apparaît que ce n’est que la deuxième fois qu’elle sanctionne le sous-traitant de manière substantielle et non pas le responsable de traitement dans ce type d’affaires. Cela est motivé par la CNIL notamment par le fait que la société DEDALUS BIOLOGIE n’a pas limité l’impact de cette fuite de données. Effectivement, le 1er mars 2021, c’est la CNIL, et non DEDALUS BIOLOGIE, a qui a fait délivrer aux fournisseurs d’accès internet concernés une assignation en référé afin d’assurer le blocage effectif du fichier contenant les données personnelles des 500.000 personnes. De plus, un an auparavant, en mars 2020, un salarié avait déjà alerté la société de l’existence de certaines failles de sécurité, mais a finalement été licencié pour faute grave.

Suite à cette décision, on peut imager que la société DEDALUS BIOLOGIE subit un impact considérable sur son image et sa réputation. Il convient de noter par ailleurs qu’elle dispose d’un recours devant le Conseil d’Etat dans un délai de 2 mois à partir du 15 avril 2022.

Marie BREYNE, Juriste
Raphaël RAULT, Avocat associé