Le 21 avril 2022, la CNIL a publié une décision de sanction par laquelle la société DEDALUS BIOLOGIE s’est vu infligée une amende d’1,5 millions d’euros.
Le 23 février 2021, la société DEDALUS BIOLOGIE a subi une violation de données personnelles concernant près de 500 000 personnes. Les données personnelles concernaient notamment les noms, prénoms, numéros de sécurité sociale, noms du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques).
Dès le 24 février 2021, la CNIL a effectué plusieurs contrôles, notamment auprès de la société DEDALUS BIOLOGIE qui commercialise des solutions logicielles pour des laboratoires d’analyses médicales, en tant que sous-traitant.
En parallèle, la CNIL a saisi le tribunal judiciaire de Paris qui a bloqué l’accès au site sur lequel ont été publiées les données ayant fait l’objet de la violation de données. Cette décision du 4 mars 2021 a permis de limiter les conséquences pour les personnes concernées.
Sur la base des constatations effectuées lors de ses contrôles, la CNIL a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD et notamment :
Dans le cadre d’une migration d’un logiciel vers un autre outil demandé par deux laboratoires, DEDALUS BIOLOGIE agissant en tant que sous-traitant, n’a pas respecté les instructions de ces derniers et a traité des données au-delà de ce qui était demandé par les laboratoires.
La société DEDALUS BIOLOGIE ne prévoyait pas suffisamment de mesures afin de garantir la sécurité des données personnelles. En effet, il n’existait aucune procédure spécifique pour les opérations de migration de données, aucune méthode de chiffrement des données personnelles stockées sur le serveur, aucun effacement automatique des données après migration vers le second logiciel, aucune procédure d’authentification requise depuis internet pour accéder à la zone publique du serveur, aucune gestion des habilitations des salariés (plusieurs comptes utilisateurs étaient partagés entre plusieurs salariés sur la zone privée du serveur), aucun procédure de gestion et de remontée des alertes sécurité sur le serveur.
Dans le cadre de son activité la société DEDALUS BIOLOGIE proposait des conditions générales de vente qui, selon la CNIL, ne contenaient pas les mentions prévues à l’article 28(3) du RGPD.
Que faut-il retenir de cette décision ?
La question de la sécurité des données personnelles demeure un point clé de la conformité au RGPD, la majorité des décisions de la CNIL le soulignent. C’est un point central dont il faut tenir compte et auquel il faut accorder une attention particulière d’autant plus qu’elle peut rapidement nuire à la réputation d’une entreprise.
La sous-traitance reste un élément de la conformité RGPD primordial et son encadrement est nécessaire. Il est important d’avoir une clause « RGPD » précise et exhaustive tout en s’assurant qu’elle soit effective dans les faits.