Sanction de 1,5 million d'euros à l'encontre de la société DEDALUS BIOLOGIE

Fuite de données de santé


Le 23 février 2021, une fuite massive de données impliquant près de 500 000 personnes a été révélée dans les médias, mettant en cause la société DEDALUS. 

Le nom, le numéro de sécurité sociale, les informations de prescription du médecin, la date de l'examen et les informations médicales (y compris le VIH, les cancers, les maladies génétiques, les prescriptions de médicament suivies par les patients ou encore les données génétiques) de ces personnes ont été diffusées en ligne. 

Immédiatement après la fuite, la CNIL a mené plusieurs contrôles, notamment auprès de DEDALUS BIOLOGY qui commercialise des solutions logicielles pour les laboratoires médicaux. En parallèle, la CNIL a déposé une plainte auprès de la Cour de justice de Paris, qui a bloqué l'accès au site sur lequel les données divulguées ont été publiées. Cette décision a été prise le 4 mars 2021, limitant les conséquences sur les personnes concernées. 

Sur la base des conclusions faisant suite aux contrôles, la formation restreinte de la CNIL a déterminé que DEDALUS avait manqué à plusieurs obligations imposées par le RGPD, notamment celle d'assurer la sécurité des données personnelles

La CNIL a décidé de sanctionner la société d'une amende à hauteur de 1,5 million d'euros et de rendre sa décision publique. 

Les manquements sanctionnés :

  • Un manquement à l'obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD)

Dans le cadre de la migration d'un logiciel vers un autre outil, la société DEDALUS BIOLOGIE a extrait un volume de données plus important que celui requis par les instructions des responsables de traitement. 

  • Un manquement à l'obligation d'assurer la sécurité des données personnelles (article 32 du RGPD)

Cela concerne notamment :

  1. L'absence de procédures spécifiques pour les opérations de migration de données ;
  2. L'absence de chiffrement pour les données sensibles stockées sur le serveur ;
  3. L'absence d'effacement automatique des données après migration vers l'autre logiciel ;
  4. L'absence d'authentification requise depuis internet pour accéder à la zone publique du serveur ; 
  5. L'utilisation de comptes génériques.
  • Un manquement à l'obligation d'encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD)

Source : CNIL.fr

En cas de doute sur votre conformité au RGPD suite à une sanction, n'hésitez pas à contacter Extern DPO. Nous sommes un cabinet de conseil de référence dans le Nord et pouvons effectuer un audit de conformité pour vous aider à identifier les actions à mener afin de diminuer le risque d'être sanctionné par la CNIL.


Sanction de 250.000 € à l'encontre d'INFOGREFFE
Manquements en matière de durée de conservation et de sécurité des données personnelles