En février 2021, une fuite inédite des données personnelles de près de 500.000 patients de laboratoires avait déclenché une procédure de contrôles de la Cnil pour en trouver l'origine. Un an plus tard, le gendarme des données personnelles sanctionne la société Dedalus Biologie à une amende de 1,5 million d'euros pour ses nombreux manquements dans la migration des données entre deux logiciels. Cette décision devrait devenir un référentiel pour les prochains cas de fuites de données.Le gendarme français des données, la Cnil, a infligé une amende de 1,5 million d'euros à la société Dedalus Biologie, éditrice de logiciels à destination des laboratoires d'analyses médicales. En cause : une fuite de données massive, particulièrement médiatisée, qui avait touché plus de 500.000 patients de différents laboratoires en février 2021. "Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d'affaires de la société Dedalus Biologie", précise la commission.
Le texte de la décision, publié le 21 avril 2022 à la suite de plusieurs contrôles, étrille la branche du groupe Dedalus. Elle l'accuse de nombreux défauts de sécurité dans sa procédure de migration des données entre deux de ses logiciels, en plus de critiquer sa gestion de la crise. Cette décision devrait devenir un référentiel pour les nombreux cas de fuites de données à venir : la Cnil a fait le choix de la rendre publique, alors qu'elle n'en a pas l'obligation. Elle ajoute ainsi une sanction réputationnelle à la sanction financière.
Une fuite exceptionnelle
Le 23 février 2021, Libération publiait une enquête sur une fuite de données concernant près de 500.000 personnes. Ces données, issues de 27 laboratoires français, avaient été collectées entre 2015 et 2020, mais la majorité dataient de la période 2018-2019. Dès le lendemain, la Cnil commençait ses contrôles pour identifier l'origine de la fuite. Libération notait déjà dans son article l'utilisation des logiciels de Dedalus comme dénominateur commun entre les laboratoires concernés.
Pour chaque patient touché par la fuite, on retrouvait systématiquement : son nom, son numéro de sécurité sociale, sa date de naissance et les coordonnées de son médecin. Dans plus de la moitié des cas, la fuite contenait aussi aussi son adresse email, son numéro de téléphone, ou encore son groupe sanguin. Des données personnelles, voire "sensibles" au regard de la loi, qui font l'objet de protections particulières.