DEDALUS Biologie : 1er sous-traitant condamné par la CNIL à la suite d’une violation de données de santé

DEDALUS Biologie, société spécialisée dans la vente de solutions logicielles pour des laboratoires d’analyse médicale, a récemment été sanctionnée¹ par la CNIL en raison d’une fuite de données touchant près de 500 000 personnes. Sa formation restreinte relève ainsi plusieurs manquements aux obligations imputables aux sous-traitants en vertu du RGPD. Cette décision renvoie aux nouvelles ambitions de la CNIL qui cherche aujourd’hui à adopter une politique répressive plus adaptée².

Cette violation de données, révélée par la presse en février 2021³, a tout de suite interpellé la CNIL qui a constaté la présence d’un lien présent sur un forum permettant d’accéder à divers types de données personnelles, dont des données de santé, considérées comme sensibles au sens de l’article 9 du RGPD. Les contrôles opérés par la CNIL ont révélé trois manquements principaux aux obligations entourant les relations de sous-traitance.

En premier lieu, la formation restreinte a considéré que la documentation contractuelle encadrant la relation de DEDALUS avec ses clients n’est pas conforme aux exigences de l’article 28, paragraphe 3 du RGPD. Aucune des mentions requises par ledit article ne figurent dans les conditions générales de vente ou les contrats de maintenance proposés par la société. Par ailleurs, bien que DEDALUS ait argué que les responsables de traitement devaient également être considérés comme responsables du manquement, la CNIL a rappelé que la responsabilité propre du sous-traitant ne saurait être exclue par ce constat.

D’autre part, le rapporteur a noté que la société DEDALUS⁴ « a extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients », violant ainsi les dispositions de l’article 29 du RPGD. Bien que DEDALUS ai rappelé ses efforts pour développer une solution de migration plus respectueuse du RGPD, les extractions actuellement opérées par la société sont bien plus importantes que ce que les instructions des responsables de traitement prévoyaient, exposant ainsi les données de santé de milliers de personnes.

Enfin, un manquement majeur à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) a été relevé, un manquement en partie à l’origine de la violation de données. DEDALUS n’a notamment prévu aucune procédure spécifique à la migration de données, ne chiffrait pas les données stockées sur son serveur et n’effaçait pas automatiquement les données après migration. Des mesures d’authentification pour accéder à la partie publique du serveur de la société font également défaut. Plusieurs salariés utilisaient par ailleurs des comptes partagés, une pratique dont la CNIL avait déjà précisé le caractère néfaste⁵. Pour finir, aucune « procédure de supervision et de remontée d’alertes de sécurité sur le serveur »⁶ n’a été mise en place par DEDALUS.

Compte-tenu de la multiplicité des manquements et de la capacité financière de la société DEDALUS, la CNIL a estimé qu’un montant de 1,5 millions d’euros était justifié. Vu la gravité de violation et de son impact sur la vie privée des personnes concernées, la publicité de la décision a été retenue.

Par cette décision, la CNIL insiste lourdement sur la responsabilité qui pèse sur le sous-traitant, qui ne saurait se protéger derrière la responsabilité de son responsable de traitement pour atténuer ses manquements. Les éventuelles sanctions qui ont été prononcées à l’encontre des responsables de traitement n’y apparaissent d’ailleurs pas. De plus, cette décision s’inscrit dans la nouvelle démarche de la CNIL dont la volonté de contrôle s’accroit, en témoigne l’enquête approfondie menée par son rapporteur et la sévérité de l’amende.

---

Pour en savoir plus :

1. CNIL, délibération de la formation restreinte n° SAN-2022-009 concernant la société DEDALUS BIOLOGIE, 15 avril 2022 [en ligne ; consulté le 25 avril 2022]
2. Gilles Trouessin, « Mise en œuvre de la réforme des procédures correctrices, vers un accroissement des sanctions de la CNIL en 2022 ? », Lexagone, 15 avril 2022
3. Fabien Leboucq, « Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne », Libération, 23 février 2021, [en ligne ; consulté le 25 avril 2022]
4. Ibid., délibération n°SAN-2022-009, point 2., §40
5. CNIL, Les guides de la CNIL : la sécurité de données personnelles, p. 11 [en ligne ; consulté le 25 avril 2022]
6. Ibid., délibération n°SAN-2022-009, point 3., paragraphe 56

---

Par Yaman Djarboua | News, Protection des données, Sécurité | Commentaires fermés