Fuite des données personnelles de 500.000 patients : la Cnil condamne Dedalus à 1,5 million d'euros d'amende

En février 2021, une fuite inédite des données personnelles de près de 500.000 patients de laboratoires avait déclenché une procédure de contrôles de la Cnil pour en trouver l'origine. Un an plus tard, le gendarme des données personnelles sanctionne la société Dedalus Biologie à une amende de 1,5 million d'euros pour ses nombreux manquements dans la migration des données entre deux logiciels. Cette décision devrait devenir un référentiel pour les prochains cas de fuites de données.
François Manens

5 mn

La décision de la Cnil devrait devenir un référentiel pour les cas de fuites de données à venir. En faisant le choix de la rendre publique, alors qu'elle n'en a pas l'obligation, la Cnil ajoute ainsi une sanction réputationnelle à la sanction financière.
La décision de la Cnil devrait devenir un référentiel pour les cas de fuites de données à venir. En faisant le choix de la rendre publique, alors qu'elle n'en a pas l'obligation, la Cnil ajoute ainsi une sanction réputationnelle à la sanction financière. (Crédits : Charles Platiau)

Le gendarme français des données, la Cnil, a infligé une amende de 1,5 million d'euros à la société Dedalus Biologie, éditrice de logiciels à destination des laboratoires d'analyses médicales. En cause : une fuite de données massive, particulièrement médiatisée, qui avait touché plus de 500.000 patients de différents laboratoires en février 2021. "Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d'affaires de la société Dedalus Biologie", précise la commission.

Le texte de la décision, publié le 21 avril 2022 à la suite de plusieurs contrôles, étrille la branche du groupe Dedalus. Elle l'accuse de nombreux défauts de sécurité dans sa procédure de migration des données entre deux de ses logiciels, en plus de critiquer sa gestion de la crise. Cette décision devrait devenir un référentiel pour les nombreux cas de fuites de données à venir : la Cnil a fait le choix de la rendre publique, alors qu'elle n'en a pas l'obligation. Elle ajoute ainsi une sanction réputationnelle à la sanction financière.

Une fuite exceptionnelle

Le 23 février 2021, Libération publiait une enquête sur une fuite de données concernant près de 500.000 personnes. Ces données, issues de 27 laboratoires français, avaient été collectées entre 2015 et 2020, mais la majorité dataient de la période 2018-2019. Dès le lendemain, la Cnil commençait ses contrôles pour identifier l'origine de la fuite. Libération notait déjà dans son article l'utilisation des logiciels de Dedalus comme dénominateur commun entre les laboratoires concernés.

Pour chaque patient touché par la fuite, on retrouvait systématiquement : son nom, son numéro de sécurité sociale, sa date de naissance et les coordonnées de son médecin. Dans plus de la moitié des cas, la fuite contenait aussi aussi son adresse email, son numéro de téléphone, ou encore son groupe sanguin. Des données personnelles, voire "sensibles" au regard de la loi, qui font l'objet de protections particulières.

Pire, dans une petite fraction des cas, des commentaires ajoutés manuellement donnaient des détails avancés sur le patient, comme sa maladie (VIH, cancer, maladie génétique...) ou encore les traitements suivis.

La particularité de la fuite, outre son volume et la sensibilité des données, est qu'elle était particulièrement facile à obtenir. Des liens vers un site qui l'hébergeait gratuitement ont rapidement circulé sur des forums faciles d'accès, ainsi que des chaînes Telegram populaires.

Pour mettre un terme à cette large diffusion, la Cnil a elle-même assigné en référé les fournisseurs d'accès à Internet en plus de saisir le tribunal judiciaire de Paris. Son objectif : bloquer l'accès au principal site où se trouvait la fuite de donnée. Mais la fermeture n'a été effective que le 4 mars 2021, soit plus de 10 jours après la révélation de la fuite. Dans son délibéré, la commission tacle l'inaction de Dedalus :

« La société n'a pas pris de mesures particulières pour faire cesser la diffusion du fichier une fois qu'elle en a eu connaissance. C'est la présidente de la Cnil, et non la société Dedalus Bilogie, qui a fait délivrer une assignation en référé afin que soit assuré le blocage effectif du fichier litigieux. »

Une migration entre deux logiciels au cœur du problème

Si le mode d'obtention de la fuite par les pirates reste flou, la Cnil offre des détails sur son origine. Dedalus aurait échoué à faire correctement migrer les données des patients de ses laboratoires clients entre son logiciel de gestion de laboratoire Megabus -qui n'était plus conforme aux exigences du RGPD- et son remplaçant, le logiciel Kalisil.

Le gendarme pointe une longue liste de manquements élémentaires de cybersécurité :

  • absence de procédure spécifique pour les opérations de migration de données;
  • absence de chiffrement des données personnelles stockées sur le serveur problématique, alors que le chiffrement doit empêcher la lisibilité des données en cas de fuite;
  • absence d'effacement automatique des données après migration vers l'autre logiciel, ce qui est contraire au principe de minimisation des données intégré dans le RGPD;
  • absence d'authentification requise depuis Internet pour accéder à la zone publique du serveur (autrement dit, la zone publique du serveur où se trouvait les données était accessible à n'importe quel internaute qui en avait l'adresse ou la trouvait, et donc aux hackers spécialisés dans la recherche de ces serveurs ouverts sur internet);
  • utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur, ce qui empêche le bon suivi des modifications qui l'affectent;
  • absence de procédure de supervision et de remontée d'alertes de sécurité sur le serveur.

La Cnil regroupe ces ratés en trois catégories, qu'elle sanctionne au regard du Règlement général sur la protection des données (le fameux RGPD) : "manquement à l'obligation pour le sous-traitant de respecter les instructions du responsable de traitement des données personnelles" (article 29) , "manquement à l'obligation d'assurer la sécurité des données personnelles" (article 32) et "manquement à l'obligation d'encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement" (article 28).

François Manens

5 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 8
à écrit le 22/04/2022 à 9:46
Signaler
Il faudrait limiter le numérique à l'essentiel..

à écrit le 21/04/2022 à 22:43
Signaler
Contrairement à ce que dit l’article, les décisions de sanction sont souvent publiées par la CNIL.

à écrit le 21/04/2022 à 21:04
Signaler
"la Cnil, a infligé une amende de 1,5 million d'euros à la société Dedalus Biologie" Et pour la fuite inédite des données personnelles de près de 500.000 patients de différents laboratoires en février 2021,ils ont quoi pour le vol de leurs données...

à écrit le 21/04/2022 à 18:58
Signaler
Bravo.

à écrit le 21/04/2022 à 18:01
Signaler
Question : En donnant le nom du site gratuit, cela certainement aurait été constructif et aurait averti d'autres entreprises de prendre plus de précautions. ou y-a t'il pour vous alors d'autres implications juridiques??

à écrit le 21/04/2022 à 17:33
Signaler
En plus, ce gouvernement veut faire ouvrir aux assurés sociaux le dossier médical partagé informatique. Il faut être courageux pour l'ouvrir, lorsque l'on voit tous les piratages informatiques. Les pharmaciens ont revendus nos données personnelles d...

le 22/04/2022 à 10:16
Signaler
Effectivement : A iqvia une entreprise américaine .Et une pharmacie française sur deux (11.000) le pratique.Lorsqu’une personne présente sa carte Vitale, Iqvia, ce groupe spécialisé dans l’analyse et la collecte de données médicales, recueille san...

à écrit le 21/04/2022 à 16:50
Signaler
Dans l'émission d'Elise Lucet la CNIL avait donné son accord pour que les américains puissent jouir de toutes nos données médicales . Le contrat devait être exclusif avec les américains pour que la CNIL poursuivre d'autres sociétés ? La grosse base...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.