[DÉLIBÉRATION COMMENTÉE] CNIL vs. Dedalus Biologie, 15 avril 2022

Résumé des faits

Des données concernant plus de 490 000 patients de laboratoires d’analyses ont été diffusées illégitimement sur internet :

• Données d’identification, données de contact, identifiants et mots de passe.
• N° de Sécurité Sociale.
• Commentaires libres contenant des données de santé dont informations médicales, pathologies, traitements suivis, données génétiques.
• Données relatives au médecin et préleveur en laboratoire.
• Données relatives à la mutuelle du patient.

Après plusieurs contrôles auprès des orgnisations concernées, la société DEDALUS BIOLOGIE, commercialisant des solutions logicielles pour les laboratoires d’analyses médicales, s’est vue sanctionné par une amende publique de 1,5 millions d’euros pour plusieurs manquements dont le défaut d’assurer la sécurité des données.

Motifs de la sanction / Manquements

Des données concernant plus de 490 000 patients de laboratoires d’analyses ont été diffusées illégitimement sur internet :

• Non-respect de l’article 28 du RGPD : mentions obligatoires inexistantes dans les CGV, et le Contrat de Maintenance.

• Non-respect de l’article 29 du RGPD : le ST a agi en dehors des instructions du RT, en migrant un volume de données plus important que celui demandé par le RT.

• Non-respect de l’article 32 du RGPD : aucune mesures suffisantes de sécurisation des données n’a été mise en oeuvre lors de la migration, malgré la sensibilité et le volume de données.

Que retenir de la décision ?

• En fournissant un logiciel, qinsi que des presations de maintenance (dont la migration vers un autre logiciel), le fournisseur agit comme sous-traitant de ses clients responsables de traitements.
• L’article 28 du RGPD ne concerne pas que les contrats au sens propre du terme, mais également les documents encadrant la relation entre le fournisseur et ses clients, dont notamment les CGV.
• L’obligation de l’article 28 du RGPD de faire apparaître certaines mentions obligatoires dans les documents contractuels entre un RT et un ST, s’impose à la fois au RT et au ST. Chacune des parties doit vérifier que les documents d’encadrement juridique de la relation contiennent les mentions obligatoires de l’article 28 du RGPD.
• Mesures de sécurité recommandées en cas de migration d’un volume de données sensibles important :
  • Procédures spécifiques des opérations de migration.
  • Chiffrement des données systématiques des données sensibles.
  • Effacement automatique des données migrées (sur la base initiale).
  • Mesures d’authentification pour l’accès.
  • Accès par personne et non partagés.
  • Procédure de supervision et de remontée d’alertes de sécurité.

Les + de Data Legal Drive

• Le ST doit recueillir et conserver les instructions données par le RT au format écrit afin d’être en mesure de les fournir en cas de contrôle et de démontrer leur respect.
• Il appartient à un ST de s’assurer que les mentions obligatoires (de l’article 28 du RGPD) apparaissent dans les CGV (ou équivalent) qu’il impose à un futur client. A l’inverse il appartient au RT de vérifier que les mentions obligatoires apparaissent dans les CGA (ou équivalent) qu’il impose à son futur prestataire.
• Le ST doit mettre en oeuvre, par défaut, des mesures de sécurité suffissantes en fonction du risque associé au traitement, indépendamment des éventuelles instructions supplémentaires du RT.
• La CNIL a décidé de sanctionner lourdement puisqu’elle a tenu compte du plafond de 10 millions d’euros (plutôt que le plafond de 2% du CA) : la sanction représente ainsi presque 10% du CA 2020 de la société et plus de 100% du résultat net 2020.