500 000 personnes victimes d'une fuite de données de santé : la CNIL condamne Dedalus Biologie

La CNIL a lourdement sanctionné la société Dedalus Biologie, pour des défauts de sécurité ayant entraîné la fuite de données médicales, ainsi qu'une violation du RGPD.

Jeudi, la Commission nationale de l'informatique et des libertés a annoncé avoir sanctionné, une semaine plus tôt, la société Dedalus Biologie, spécialisée dans l'édition de logiciels système et de réseau dans le domaine de la santé, après une fuite de données ayant impacté près de 500 000 personnes. La CNIL a infligé à l'entreprise, coupable de plusieurs manquements au RGPD, une amende de 1,5 million d'euros.

Des informations de santé particulièrement sensibles qui ont un temps fuité en ligne

C'est un lanceur d'alerte strasbourgeois, ancien salarié de Dedalus Biologie, qui avait permis la révélation, le 21 février 2021, d'une fuite de données massive concernant les informations personnelles d'environ 500 000 personnes. Dès le lendemain, la CNIL a lancé des contrôles auprès de l'entreprise qui se décrit elle-même comme un leader européen et acteur mondial des solutions logicielles pour les laboratoires d'analyse médicale.

La fuite comprend des données personnelles comme le nom, prénom, numéro de sécurité sociale, date de l'examen, nom du médecin prescripteur et d'autres informations médicales ô combien sensibles de personnes frappées par le VIH, un cancer, une maladie génétique, celles en état de grossesse ou suivant un traitement médicamenteux, sans parler des données génétiques qui ont aussi été diffusées sur Internet.

La CNIL a considéré que Dedalus Biologie avait manqué à plusieurs obligations prévues par le RGPD. L'autorité reproche notamment à l'entreprise basée à Strasbourg de n'avoir pas répondu à l'obligation qui consistait pour elle à protéger les données personnelles collectées.

La CNIL a rapidement fait bloquer l'accès au site pirate qui hébergeait les données volées

Plusieurs manquements au RGPD ont abouti à la sanction de Dedalus Biologie. D'abord, l'entreprise a extrait un volume de données plus important que requis dans le cadre de la migration d'un logiciel vers un autre, demandée par deux laboratoires qui utilisaient les services de Dedalus. Ensuite, il y a évidemment le manquement à l'obligation d'assurer la sécurité des données personnelles, qui s'est matérialisé par l'absence de chiffrement des données personnelles stockées sur le serveur piraté, l'absence d'authentification pour accéder à la zone publique du serveur, l'absence d'effacement automatique des données après migration vers un autre logiciel, ou encore l'absence de procédure de supervision et de remontée d'alertes de sécurité sur le serveur. Des manquements particulièrement graves.

Rapidement, la CNIL a, en parallèle de la procédure, demandé au tribunal judiciaire de Paris, compétent en la matière, de bloquer l'accès au site sur lequel les données étaient publiées. Ce fut le cas à compter de la décision du 4 mars 2021, ce qui a limité dans le temps l'exposition des données ayant fuité.

À l'issue des contrôles et au terme des constatations, la formation restreinte de la CNIL a condamné la société Dedalus Biologie à une amende de 1,5 million d'euros, qui peut paraître faible, mais qui en réalité est assez colossale pour une fuite de données de santé. Surtout, elle correspond à environ 10 % du chiffre d'affaires 2020 de l'entreprise, en nous référant à des données publiques, ce qui témoigne de la gravité des manquements retenus par le gendarme des données.

Source : CNIL