Le cas de la société DEDALUS BIOLOGIE

Le Cabinet Avomedias intervient en droit du numérique et notamment en matière de données personnelles.

Notre cabinet accompagne les professionnels dans la mise en conformité de leurs pratiques commerciales au Règlement général sur la protection des données (RGPD), allant par exemple, de la création d’un site internet à la rédaction de contrats commerciaux.

La question des données de santé est centrale dans notre société et s’est accentuée pendant la crise du Covid-19. La Commission nationale de l’informatique et des libertés (CNIL) protège la collecte et le traitement des données personnelles et est davantage soucieuse de la protection des données sensibles comme les données de santé.

C’est dans cet esprit de protection que la CNIL a sanctionné à hauteur de 1,5 million d’euros la société DEDALUS BIOLOGIE le 15 avril 2022 pour défaut de sécurité des données de santé entraînant une fuite de données de près de 500 000 personnes.

 

Récapitulatif des faits et de la procédure

La société DEDALUS BIOLOGIE commercialise des logiciels à destination de laboratoires d’analyses médicales dans le but de mieux organiser la gestion des laboratoires.

Les laboratoires clients achètent donc une licence pour exploiter le logiciel et la société va venir installer, accompagner les clients et assurer les mises à jour du système.

Le 23 février 2021, le journal Libération a publié un article qui dénonce qu’un lien de téléchargement a été diffusé sur un forum redirigeant l’utilisateur vers un fichier contenant les données médico-administratives de près de 500 000 personnes.

Les pirates informatiques avaient donc accès aux données de santé des personnes avec des observations, ainsi que leur mot de passe. 

Le 24 février 2021, la CNIL a pris la situation en main et a effectué des contrôles en ligne pour analyser s’il y avait une violation à la loi Informatique et Libertés du 6 janvier 1978 (https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/) et au RGDP du 27 avril 2016. (https://www.cnil.fr/fr/reglement-europeen-protection-donnees)

Au cours de son investigation, la Commission a pu observer que 491 840 patients étaient concernés par cette fuite et que les données en cause allaient au-delà de la simple collecte de données de santé. En effet, le fichier reprenait les données d’identification des personnes, les données de santé détaillées avec des observations du corps médical sur le patient, les données d’identification du médecin prescripteur, les données relatives au préleveur, les données relatives à la mutuelle du patient et les identifiants et mots de passe des patients.

Cette situation inédite en France n’a pas laissé la CNIL indifférente, qui a agi au plus vite pour limiter les risques de transfert des données et pour stopper la violation.

C’est donc dans une course contre la montre que la CNIL a effectuée des missions de contrôle dans les différends locaux de la société DEDALUS BIOLOGIE et dans plusieurs laboratoires concernés par cette atteinte.

La CNIL a ensuite statué en formation restreinte le 15 avril 2022 pour rendre sa décision.

Fuite de données de santé : la CNIL sanctionne

En premier lieu, la CNIL examine la qualité de la société à l’égard des traitements en cause. Selon l’article 4 du RGPD, la société est qualifiée de sous-traitant des traitements mis en place pour les laboratoires clients. Elle est donc responsable de la collecte et du traitement des données en cause.

Ensuite, dans le rapport de la CNIL, tous les manquements relatifs au RGPD imputés à la société ont été listés et analysés :

 

Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement.

L’article 28 du RGPD encadre cette obligation en listant les mentions qui doivent figurer dans les contrats ou autres actes juridiques liant le sous-traitant et le client. Cependant, au cours de l’instruction, la CNIL a observé que les contrats entre les deux parties ne mentionnés pas l’article 28 du RGPD et que les mentions requises par ce dernier n’y figurant pas non plus.

De plus, au regard des différents contrats et mentions légales, la CNIL retient que de nombreux actes juridiques ne sont pas en conformité avec le RGPD.

Ainsi, même si la société a effectué des modifications dans ses contrats pour réparer ce manquement, la CNIL soutient que ce manquement est caractérisé.

 

Manquement à l’obligation pour le sous-traitant de ne traiter les données à caractère personnel que sur instruction du responsable de traitement.

L’article 29 du RGPD dispose que « Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre ».

L’enquête a relevé que le sous-traitant avait extrait un nombre de données plus conséquent que celui requis dans le cadre de son activité.

La CNIL relève que la société était dotée d’un outil inadapté ne respectant pas les mesures définies dans le RGPD et est responsable de ce manquement.

 

Manquement à l’obligation d’assurer la sécurité des données

L’article 32 du RGPD encadre cette obligation en énonçant des moyens permettant d’assurer cette sécurité.

Le rapporteur chargé de l’enquête a relevé qu’il existait déjà des problèmes de sécurité concernant le système informatique. Dès 2020, des signalements avaient été effectués par un salarié et l’Agence nationale de la sécurité des systèmes d’information avait observé que certaines données de patients étaient mises en vente sur le darknet. Ainsi, malgré ces incidents, la société n’a pas stoppé la violation.

Le rapporteur observe que la société était désorganisée concernant les opérations de migrations de données et que toutes les obligations inscrites au RGPD pour protéger le transfert frauduleux de données n’étaient pas respectées. La CNIL impute donc ce manquement au sous-traitant qui n’a pas assuré cette obligation.

 

Une sanction salée pour la société

L’article 83 du RGPD retient que chaque autorité de contrôle doit imposer des amendes administratives dont le but est qu’elles soient effectives, proportionnées et dissuasives.

L’amende administrative ne peut excéder 10 millions d’euros ou pour les entreprises, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Pour définir le montant de la sanction, alors CNIL a donc pris en compte qu’il existait plusieurs violations concernant des données sensibles et pour un nombre important de personnes.

La CNIL a alors prononcé une amende administrative d’un montant 1,5 million d’euros (soit 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de la société) et a décidé de rendre publique sa décision.

Pour conclure, la CNIL a donné le ton sur l’importance de la protection des données personnelles et notamment les données de santé. Elle a également mis en lumière que le sous-traitant pouvait mettre sa responsabilité en cause en cas de manquements au RGPD. L’objectif est donc de mettre en conformité tous les professionnels aux règles inscrites dans le RGPD pour limiter les risques de transferts frauduleux en Europe ou à l’étranger.

 

Le Cabinet Avomédias vous accompagne dans tous vos projets innovants en assurant la mise en conformité de vos pratiques commerciales au RGPD et vous prépare en cas de contrôle d’une autorité administrative comme la CNIL.

Me Steve OUTMEZGUINE

Me Steve OUTMEZGUINE

Fondateur du Cabinet Avomedias

Contactez nous

contact@avomedias.law
01 84 14 52 02

Notre adresse

47 Avenue Hoche
75008 Paris

Prendre rendez-vous

Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h

Nous écrire

A lire aussi

01 84 14 52 02

Fuite de données de santé : la CNIL sanctionne la société DEDALUS BIOLOGIE

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.

Paramétrer les cookies