23 Mai DEDALUS BIOLOGIE : sanction CNIL de 1,5 millions d’euros pour manquements au RGPD ayant causé une fuite de données de santé concernant près de 500 000 patients
Par une délibération du 15 avril 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) inflige une amende de 1,5 millions d’euros à la société DEDALUS BIOLOGIE, éditeur de logiciels et fournisseur de prestations informatiques associées à destination de laboratoires d’analyses médicales pour manquements au Règlement européen sur la protection des données (« RGPD ») ayant entraîné une fuite de données médicales affectant 491 840 personnes concernées.
La fuite de données a été révélée dans un article de presse du journal Libération intitulé « Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne » publié le 23 février 2021.
L’article dévoile que de nombreuses données personnelles de patients concernant leur identité ou encore leur état de santé sont devenues librement accessibles depuis un lien de téléchargement publié sur un forum internet. Ces données de santé sont des catégories particulières de données personnelles au sens de l’article 9 du RGPD (dites données » sensibles « ).
La CNIL procède immédiatement (dès le lendemain) à plusieurs missions de contrôles, en ligne, sur pièces et sur place auprès de sociétés du Groupe DEDALUS, à savoir DEDALUS France et DEDALUS BIOLOGIE ainsi qu’auprès de deux laboratoires clients concernés par la violation de données.
Ces contrôles mettent en évidence de multiples manquements au RGPD plus particulièrement à l’obligation de sécurité définie à l’article 32 mais également aux obligations d’encadrer les traitements entre responsable de traitement et sous-traitant et en particulier pour le sous-traitant de respecter scrupuleusement les instructions qui lui sont données pour ne pas engager sa responsabilité (article 28 et 29 du RGPD).
Les manquements à l’obligation de sécurité des données
Rappelons tout d’abord que l’article 32 du RGPD exige des responsables de traitement comme des sous-traitants de mettre en œuvre, « [en fonction] de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques [..] », les mesures techniques et organisationnelles appropriées afin de « garantir un niveau de sécurité adapté au risque (…) ».
En l’espèce, c’est dans le cadre des opérations de migration de données d’un logiciel vers un autre réalisées par la société DEDALUS BIOLOBIE que de multiples manquements particulièrement graves eu égard à la nature des données (données de santé) ont été relevés, notamment :
- l’absence de procédure spécifique s’agissant des opérations de migration de données sensibles,
- l’absence de chiffrement des données à caractère personnel stockées sur un serveur,
- l’absence d’effacement automatique des données après migration d’un environnement logiciel vers un nouvel environnement logiciel,
- l’absence d’authentification requise depuis Internet pour accéder à la zone publique d’un serveur,
- l’utilisation de comptes utilisateurs partagés entre plusieurs salariés s’agissant de la zone privée de ce même serveur et
- l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.
La formation restreinte de la CNIL considère que ces négligences fautives et le non-respect manifeste des règles élémentaires de sécurité des systèmes d’information sont directement à l’origine de la violation de données.
C’est ainsi que les données médico-administratives telles que nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen, deux colonnes de commentaires libres contenant notamment des informations relatives aux pathologies (VIH, cancers, maladies génétiques), à l’état de grossesse, aux traitements médicamenteux ou encore des données génétiques de près de 500 000 personnes se sont trouvées librement accessibles.
Le manquement à l’obligation d’encadrer les traitements par un acte juridique formalisé
La formation restreinte de la CNIL rappelle tout d’abord que le sous-traitant est défini par l’article 4.8 du RGPD comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
La société DEDALUS BIOLOGIE met à disposition de ses clients, les laboratoires, des outils informatiques leur permettant de mettre en œuvre leurs traitements et réalise pour le compte de ces clients et sur la base des instructions de ces derniers un certain nombre de prestations de services informatiques. La CNIL en déduit que DEDALUS BIOLOGIE agit en qualité de sous-traitant des traitements mis en œuvre pour le compte des laboratoires, qui eux sont responsables de traitement.
La CNIL relève que bien que l’obligation d’encadrer les traitements par un acte juridique formalisé incombe tant au responsable de traitement qu’au sous-traitant, « cela est sans incidence sur une responsabilité propre du sous-traitant ». En l’espèce, c’est DEDALUS BIOLOGIE qui transmet ses propres conditions générales de vente (CGV) afin d’encadrer ses relations avec les laboratoires. Or, ces CGV ne comportent aucune des mentions requises par l’article 28 du RGPD (comme le type de données personnelles traitées, la finalité du traitement ou encore le fait que le sous-traitant prenne toutes les mesures requises en vertu de l’article 32 du RGPD), pas plus que les contrats de maintenance conclus avec les laboratoires.
Le manquement à l’obligation pour le sous-traitant de n’agir que sur instructions documentées du responsable de traitement
Par ailleurs, la formation restreinte de la CNIL a également relevé un manquement à l’article 29 du RGPD selon lequel le sous-traitant est obligé de ne traiter les données à caractère personnel que sur instruction du responsable de traitement.
En effet, lors des contrôles, il est apparu que la société DEDALUS BIOLOGIE avait extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par deux de ses clients. L’autorité de contrôle en a donc déduit que la société avait manqué à l’obligation de minimisation des traitements et a outrepassé les instructions qui lui avait été données. Ces faits ont par ailleurs contribué à aggraver la violation, puisque des commentaires qui n’auraient pas dû être extraits se sont ensuite retrouvés dans le fichier diffusé en ligne et accessible sur les forums.
Dans sa décision, la CNIL insiste en outre sur les conséquences potentiellement graves d’une fuite massive de données de santé qui peut être mise à profit par des cyber délinquants qui peuvent ainsi aisément utiliser ces données pour réaliser des opérations de phishing (envoi de faux messages ou de faux documents pour récupérer des informations personnelles ou de l’argent) ou d’usurpation d’identité (fausses ordonnances, messages de détresse factices).
Au regard de la gravité des manquements ci-dessus exposés, du caractère extrêmement dommageable de la violation pour les personnes concernées, et de l’absence de mesures mises en place par la société pour faire cesser la diffusion du fichier une fois qu’elle en a eu connaissance, la formation restreinte de la CNIL a ainsi infligé une amende de 1,5 millions d’euros à la société DEDALUS BIOLOGIE et a décidé de rendre cette sanction publique.