Le gendarme français des données, la Cnil, a infligé une amende de 1,5 million d'euros à la société Dedalus Biologie, éditrice de logiciels à destination des laboratoires d'analyses médicales. En cause : une fuite de données massive, particulièrement médiatisée, qui avait touché plus de 500.000 patients de différents laboratoires en février 2021. "Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d'affaires de la société Dedalus Biologie", précise la commission.
Le texte de la décision, publié le 21 avril 2022 à la suite de plusieurs contrôles, étrille la branche du groupe Dedalus. Elle l'accuse de nombreux défauts de sécurité dans sa procédure de migration des données entre deux de ses logiciels, en plus de critiquer sa gestion de la crise. Cette décision devrait devenir un référentiel pour les nombreux cas de fuites de données à venir : la Cnil a fait le choix de la rendre publique, alors qu'elle n'en a pas l'obligation. Elle ajoute ainsi une sanction réputationnelle à la sanction financière.
Une fuite exceptionnelle
Le 23 février 2021, Libération publiait une enquête sur une fuite de données concernant près de 500.000 personnes. Ces données, issues de 27 laboratoires français, avaient été collectées entre 2015 et 2020, mais la majorité dataient de la période 2018-2019. Dès le lendemain, la Cnil commençait ses contrôles pour identifier l'origine de la fuite. Libération notait déjà dans son article l'utilisation des logiciels de Dedalus comme dénominateur commun entre les laboratoires concernés.
Pour chaque patient touché par la fuite, on retrouvait systématiquement : son nom, son numéro de sécurité sociale, sa date de naissance et les coordonnées de son médecin. Dans plus de la moitié des cas, la fuite contenait aussi aussi son adresse email, son numéro de téléphone, ou encore son groupe sanguin. Des données personnelles, voire "sensibles" au regard de la loi, qui font l'objet de protections particulières.
Pire, dans une petite fraction des cas, des commentaires ajoutés manuellement donnaient des détails avancés sur le patient, comme sa maladie (VIH, cancer, maladie génétique...) ou encore les traitements suivis.
La particularité de la fuite, outre son volume et la sensibilité des données, est qu'elle était particulièrement facile à obtenir. Des liens vers un site qui l'hébergeait gratuitement ont rapidement circulé sur des forums faciles d'accès, ainsi que des chaînes Telegram populaires.
Pour mettre un terme à cette large diffusion, la Cnil a elle-même assigné en référé les fournisseurs d'accès à Internet en plus de saisir le tribunal judiciaire de Paris. Son objectif : bloquer l'accès au principal site où se trouvait la fuite de donnée. Mais la fermeture n'a été effective que le 4 mars 2021, soit plus de 10 jours après la révélation de la fuite. Dans son délibéré, la commission tacle l'inaction de Dedalus :
« La société n'a pas pris de mesures particulières pour faire cesser la diffusion du fichier une fois qu'elle en a eu connaissance. C'est la présidente de la Cnil, et non la société Dedalus Bilogie, qui a fait délivrer une assignation en référé afin que soit assuré le blocage effectif du fichier litigieux. »
Une migration entre deux logiciels au cœur du problème
Si le mode d'obtention de la fuite par les pirates reste flou, la Cnil offre des détails sur son origine. Dedalus aurait échoué à faire correctement migrer les données des patients de ses laboratoires clients entre son logiciel de gestion de laboratoire Megabus -qui n'était plus conforme aux exigences du RGPD- et son remplaçant, le logiciel Kalisil.
Le gendarme pointe une longue liste de manquements élémentaires de cybersécurité :
- absence de procédure spécifique pour les opérations de migration de données;
- absence de chiffrement des données personnelles stockées sur le serveur problématique, alors que le chiffrement doit empêcher la lisibilité des données en cas de fuite;
- absence d'effacement automatique des données après migration vers l'autre logiciel, ce qui est contraire au principe de minimisation des données intégré dans le RGPD;
- absence d'authentification requise depuis Internet pour accéder à la zone publique du serveur (autrement dit, la zone publique du serveur où se trouvait les données était accessible à n'importe quel internaute qui en avait l'adresse ou la trouvait, et donc aux hackers spécialisés dans la recherche de ces serveurs ouverts sur internet);
- utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur, ce qui empêche le bon suivi des modifications qui l'affectent;
- absence de procédure de supervision et de remontée d'alertes de sécurité sur le serveur.
La Cnil regroupe ces ratés en trois catégories, qu'elle sanctionne au regard du Règlement général sur la protection des données (le fameux RGPD) : "manquement à l'obligation pour le sous-traitant de respecter les instructions du responsable de traitement des données personnelles" (article 29) , "manquement à l'obligation d'assurer la sécurité des données personnelles" (article 32) et "manquement à l'obligation d'encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement" (article 28).
Nucléaire : après 12 ans de retard, EDF va enfin mettre en service l’EPR de Flamanville
Sujets les + commentés