🤒 Fuite de 500 000 dossiers médicaux ! 

Noms, prénoms, dates de naissance, adresses, numéros de téléphone, adresse mail, numéros de sécurité sociale, mutuelles, traitements suivis, noms des médecins prescripteurs, dates d’examen, identifiants et mots de passe mais aussi état de santé et données génétiques: et ce concernant près de 500 000 personnes. Ces informations – ultra sensibles – ont été rendues publiques sur internet.

👮🏻‍♀️ La sanction de la CNIL

Après avoir opéré plusieurs contrôles dès la publication des données en février 2021, la CNIL, 1 an plus tard, rend sa décision en formation restreinte: 1,5 millions d’€ d’amende pour la société française Dedalus. Et pour cause: la fuite de ces données de santé – qui sont, rappelons le, des données dites sensibles – aurait pu selon l’appréciation de la CNIL être évitée en appliquant correctement le RGPD. 

🔍 Quels manquements ? 

La CNIL relève 3 manquements majeurs au RGPD, justifiant sa sanction. 

Premièrement, il est reproché à l’un des sous-traitants de ne pas avoir respecté les instructions fournies par le responsable de traitement, conformément à l’article 29 du RGPD. En l’espèce, une société utilisatrice du logiciel a extrait un volume de données largement supérieur au volume qu’elle était supposé extraire 

Deuxièmement, c’est le défaut d’application de l’article 32 du RGPD qui est reproché à Dedalus. En effet, cet article oblige les organismes à assurer la sécurité des données personnelles, et implique la mise en place de mesures techniques et organisationnelles “appropriées au risque”. Et en l’espèce, la CNIL a relevé de trop nombreux manquements à cette obligation, tels que l’absence de chiffrement des données personnelles, absence d’authentification, etc. Et c’est ce manquement qui est l’une des raisons majeures de cette fuite de données. 

Enfin, la CNIL relève un manquement à une obligation de formalisme dans les contrats rédigés par la société concernant les traitements effectués pour le compte du responsable de traitement, prévu par l’article 28 du RGPD. 

📄 Une décision rendue publique 

La CNIL a décidé de rendre publique sa décision, qu’elle espère exemplaire. En effet, le montant de la sanction paraît justifié par le chiffre d’affaires de la société mais surtout par   l’importance de l’affaire et la gravité des faits sans compter les risques d’usurpation d’identité ou autres arnaques pour les personnes concernées. De plus, les fuites de données sensibles se multiplient et la CNIL entend bien convaincre de l’importance de la conformité RGPD et de la sécurité informatique. L’Assurance Maladie a en effet découvert en mars dernier que les comptes informatiques de certains professionnels de santé avaient été piratés occasionnant une fuite de données sensibles concernant plus de 500 000 assurés. L’Assurance Maladie a déposé plainte et la CNIL a bien entendu été saisie.