En avril 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a infligé une amende de 1,5 million d’euros au sous-traitant Dedalus Biologie, à cause d’une fuite de données de santé ayant impacté début 2021 plus de 500 000 personnes. L’éditeur n’avait pris aucune mesure malgré une alerte de l’Anssi dès 2020.
La Cnil a estimé que Dedalus Biologie avait agit par négligence. Cet éditeur de logiciels de gestion de laboratoire (SIL) a failli selon elle à l’obligation de respecter le RGPD, dont les articles 28, 29 et 32, pour sécuriser les données et à l’obligation d’agir sur instructions du laboratoire médical, le responsable de traitement.
En effet, les noms, prénoms, numéros de sécurité sociale, noms du médecin prescripteur, dates de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) de plus de 500 000 personnes ont ainsi été diffusés sur internet.
Un nouveau sous-traitant sanctionné pour grave manquements au RGPD
« Cette décision marque un tournant dans la jurisprudence de la CNIL. L’originalité de cette décision réside dans la sanction du sous-traitant pour défaut d’encadrement contractuel des traitements de données. La Commission reconnaît la responsabilité du sous-traitant sur le fondement de l’article 28 du RGPD pour n’avoir pas intégré, par défaut, les mentions obligatoires au sein de ses contrats standards. Cette décision s’inscrit dans la continuité des récentes décisions de la CNIL tendant à faire peser une responsabilité accrue sur les prestataires de service, a fortiori lorsque des données de santé sont concernées » explique Me Gérard Haas. Cette décision s’inscrit selon lui dans la droite ligne de la précédente sanction prononcée par la CNIL le 27 janvier 2021, qui venait de sanctionner un responsable de traitement et un sous-traitant, départageant ainsi le niveau de responsabilité incombant à chaque partie.
Dans son attendu, la CNIL rappelle que l’éditeur de logiciel intervient en qualité de sous-traitant des laboratoires de biologie médicale et que le RGPD lui impose des obligations réglementaires strictes pour assurer la sécurité des informations médicales ou encore de traiter ces dernières sur instruction des laboratoires.
Une enquête approfondie a révélé de graves défaillances de traitement
L’enquête fait apparaître que dans le cadre de la migration d’un logiciel vers un autre outil, demandée par deux laboratoires utilisant les services de la société Dedalus Biologie, cette dernière a extrait un volume de données plus important que celui requis. La société a donc traité des données au-delà des instructions données par les responsables de traitement. « La lettre de l’article 29 du RGPD est claire, le sous-traitant agit sur instructions du responsable de traitement. Il est dès lors reproché au sous-traitant d’avoir extrait un volume de données plus important que celui requis dans le cadre de la mission de migration qui lui incombait » précise Me Gérard Haas.
Une alerte de l’Agence Nationale de la Sécurité des Systèmes d’Information non prise en compte
La fuite de données provenait d’ailleurs d’un serveur sur lequel étaient hébergées les données médicales issues d’un logiciel commercialisé avant par l’éditeur. La CNIL aussi révélé que plusieurs alertes sur le niveau de sécurité des serveurs, provenant d’un salarié mais aussi de l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), étaient restées sans réponse. En novembre 2020, l’agence avait établi un rapport faisant état de la fuite sur le darknet de 56 lignes de données, information communiquée à Dedalus. L’enquête démontre également que l’éditeur de logiciels n’avait prévu aucune procédure spécifique pour assurer le chiffrement des données lors de leur migration vers le serveur litigieux.
Enfin, la CNIL démontre bien que le contrat de maintenance, liant les laboratoires à l’éditeur de logiciel, tout comme les conditions générales de vente ne comportent pas les mentions obligatoires imposées par le RGPD. Au regard de ces manquements et de la gravité des faits, l’autorité administrative considère qu’il y a eu violation du droit des données personnelles, ce que ne conteste pas l’éditeur de logiciel.
