Suite à la fuite massive de données de santé révélée dans la presse concernant près de 500 000 personnes en février 2021, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 1,5 million d’euros à la société Dedalus Biologie principalement pour non-respect de ses obligations en matière de sécurité des données.

Dedalus Biologie est éditeur de logiciels applicatifs et commercialise des outils de gestion et de diagnostic e-santé pour les laboratoires d’analyses biomédicales.

Le montant de l’amende est déterminé en tenant compte de la gravité de l’infraction, et notamment en tenant compte du fait que des données personnelles de santé ont été divulguées. Le montant de l’amende prononcée par la CNIL à l’encontre de Dedalus Biologie est le montant maximum autorisé par la réglementation française. Il s’agit de la première amende du secteur.

Pour récupérer, la CNIL :

• Souligné non-respect de l’obligation de fournir un contrat formel ou une action en justice pour le traitement effectué par le sous-traitant pour le compte du responsable du traitementconformément à l’article 28 du RGPD.

Pour toute activité de sous-processus, un DPA (Data Processing Agreement) doit être défini.

• être marqué violation de l’obligation du sous-traitant de se conformer aux instructions du responsable du traitement (article 29 du RGPD), car le sous-traitant extrait un volume de données supérieur à celui requis par le responsable du traitement, y compris des données de santé personnelles (par exemple, problèmes de santé, infertilité, etc.).

Le responsable du traitement doit fournir des instructions claires et surveiller à tout moment l’activité du processeur.

• constaté qu’il y avait eu manquement à l’obligation de assurer la sécurité des données personnelles (article 32 RGPD)en raison de violations techniques, telles que :

– Absence de procédures particulières concernant la migration des données, – Absence de cryptage des données personnelles stockées sur des serveurs FTP, – Absence de suppression automatique des données après migration vers d’autres logiciels, – Absence d’authentification depuis Internet requise pour accéder aux zones publiques du serveur, – Utilisation du compte utilisateurs partagée par plusieurs employés dans l’espace privé du serveur, – Absence de surveillance de la sécurité et d’avertissements sur le serveur, malgré quelques avertissements précédents concernant d’éventuelles failles de sécurité sur ce serveur.

En plus du DPA, le responsable du traitement doit mettre en place des mesures de sécurité solides que le sous-traitant doit respecter, et mener des enquêtes de sécurité internes systématiques et des audits du sous-traitant.

En réponse, Dedalus Biologie a confirmé sa volonté d’atteindre les plus hauts niveaux de sécurité et de conformité au RGPD, en renforçant l’infrastructure informatique, en améliorant les procédures internes et externes et en nommant des responsables des services informatiques et DPO supplémentaires.

Toutes les décisions de la CNIL : cliquez ici s’il vous plait.