DEDALUS Biologie, société spécialisée dans la vente de solutions logicielles pour des laboratoires d’analyse médicale, a récemment été sanctionnée1 par la CNIL en raison d’une fuite de données touchant près de 500 000 personnes. Sa formation restreinte relève ainsi plusieurs manquements aux obligations imputables aux sous-traitants en vertu du RGPD. Cette décision renvoie aux nouvelles ambitions de la CNIL qui cherche aujourd’hui à adopter une politique répressive plus adaptée2.
Cette violation de données, révélée par la presse en février 20213, a tout de suite interpellé la CNIL qui a constaté la présence d’un lien présent sur un forum permettant d’accéder à divers types de données personnelles, dont des données de santé, considérées comme sensibles au sens de l’article 9 du RGPD. Les contrôles opérés par la CNIL ont révélé trois manquements principaux aux obligations entourant les relations de sous-traitance.
En premier lieu, la formation restreinte a considéré que la documentation contractuelle encadrant la relation de DEDALUS avec ses clients n’est pas conforme aux exigences de l’article 28, paragraphe 3 du RGPD. Aucune des mentions requises par ledit article ne figurent dans les conditions générales de vente ou les contrats de maintenance proposés par la société. Par ailleurs, bien que DEDALUS ait argué que les responsables de traitement devaient également être considérés comme responsables du manquement, la CNIL a rappelé que la responsabilité propre du sous-traitant ne saurait être exclue par ce constat.
D’autre part, le rapporteur a noté que la société DEDALUS4 « a extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients », violant ainsi les dispositions de l’article 29 du RPGD. Bien que DEDALUS ai rappelé ses efforts pour développer une solution de migration plus respectueuse du RGPD, les extractions actuellement opérées par la société sont bien plus importantes que ce que les instructions des responsables de traitement prévoyaient, exposant ainsi les données de santé de milliers de personnes.
Enfin, un manquement majeur à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) a été relevé, un manquement en partie à l’origine de la violation de données. DEDALUS n’a notamment prévu aucune procédure spécifique à la migration de données, ne chiffrait pas les données stockées sur son serveur et n’effaçait pas automatiquement les données après migration. Des mesures d’authentification pour accéder à la partie publique du serveur de la société font également défaut. Plusieurs salariés utilisaient par ailleurs des comptes partagés, une pratique dont la CNIL avait déjà précisé le caractère néfaste5. Pour finir, aucune « procédure de supervision et de remontée d’alertes de sécurité sur le serveur »6 n’a été mise en place par DEDALUS.
Compte-tenu de la multiplicité des manquements et de la capacité financière de la société DEDALUS, la CNIL a estimé qu’un montant de 1,5 millions d’euros était justifié. Vu la gravité de violation et de son impact sur la vie privée des personnes concernées, la publicité de la décision a été retenue.
Par cette décision, la CNIL insiste lourdement sur la responsabilité qui pèse sur le sous-traitant, qui ne saurait se protéger derrière la responsabilité de son responsable de traitement pour atténuer ses manquements. Les éventuelles sanctions qui ont été prononcées à l’encontre des responsables de traitement n’y apparaissent d’ailleurs pas. De plus, cette décision s’inscrit dans la nouvelle démarche de la CNIL dont la volonté de contrôle s’accroit, en témoigne l’enquête approfondie menée par son rapporteur et la sévérité de l’amende.
Pour en savoir plus :
Par Yaman Djarboua | News, Protection des données, Sécurité | Commentaires fermés