Fuite de 500 000 dossiers de santé : 1,5 million d'euros d'amende infligé par la CNIL

Le 21 avril, la CNIL rend publique sa décision envers la société Dedalus, éditrice de logiciels pour laboratoires d’analyses médicales. Après avoir constaté en février 2021 la fuite de plus de 500 000 dossiers médicaux provenant de 28 laboratoires d’analyses médicales utilisant le logiciel de la société Dedalus. , la CNIL condamne la société à 1 500 000€ d’amende. On reproche à la société des défauts de sécurité et de nombreux manquements au RGPD.

Logo de la CNIL commission nationale informatique & liberté

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Sommaire :

🤒 Fuite de 500 000 dossiers médicaux ! 

Noms, prénoms, dates de naissance, adresses, numéros de téléphone, adresse mail, numéros de sécurité sociale, mutuelles, traitements suivis, noms des médecins prescripteurs, dates d’examen, identifiants et mots de passe mais aussi état de santé et données génétiques: et ce concernant près de 500 000 personnes. Ces informations – ultra sensibles – ont été rendues publiques sur internet.

 

👮🏻‍♀️ La sanction de la CNIL

Après avoir opéré plusieurs contrôles dès la publication des données en février 2021, la CNIL, 1 an plus tard, rend sa décision en formation restreinte: 1,5 millions d’€ d’amende pour la société française Dedalus. Et pour cause: la fuite de ces données de santé – qui sont, rappelons le, des données dites sensibles – aurait pu selon l’appréciation de la CNIL être évitée en appliquant correctement le RGPD. 

 

🔍 Quels manquements ? 

La CNIL relève 3 manquements majeurs au RGPD, justifiant sa sanction. 

Premièrement, il est reproché à l’un des sous-traitants de ne pas avoir respecté les instructions fournies par le responsable de traitement, conformément à l’article 29 du RGPD. En l’espèce, une société utilisatrice du logiciel a extrait un volume de données largement supérieur au volume qu’elle était supposé extraire 

Deuxièmement, c’est le défaut d’application de l’article 32 du RGPD qui est reproché à Dedalus. En effet, cet article oblige les organismes à assurer la sécurité des données personnelles, et implique la mise en place de mesures techniques et organisationnelles “appropriées au risque”. Et en l’espèce, la CNIL a relevé de trop nombreux manquements à cette obligation, tels que l’absence de chiffrement des données personnelles, absence d’authentification, etc. Et c’est ce manquement qui est l’une des raisons majeures de cette fuite de données. 

Enfin, la CNIL relève un manquement à une obligation de formalisme dans les contrats rédigés par la société concernant les traitements effectués pour le compte du responsable de traitement, prévu par l’article 28 du RGPD. 

 

📄 Une décision rendue publique 

La CNIL a décidé de rendre publique sa décision, qu’elle espère exemplaire. En effet, le montant de la sanction paraît justifié par le chiffre d’affaires de la société mais surtout par   l’importance de l’affaire et la gravité des faits sans compter les risques d’usurpation d’identité ou autres arnaques pour les personnes concernées. De plus, les fuites de données sensibles se multiplient et la CNIL entend bien convaincre de l’importance de la conformité RGPD et de la sécurité informatique. L’Assurance Maladie a en effet découvert en mars dernier que les comptes informatiques de certains professionnels de santé avaient été piratés occasionnant une fuite de données sensibles concernant plus de 500 000 assurés. L’Assurance Maladie a déposé plainte et la CNIL a bien entendu été saisie.

Pour vérifier votre conformité RGPD, consultez notre guide RGPD ou nous pouvons vous mettre en contact avec un DPO / consultant en conformité partenaire.

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Il n’est pas toujours simple de s’y retrouver dans la jungle des professions juridiques. Conscient de ce problème, nous avons créé Monexpertdudroit.com pour vous aider à trouver professionnel du droit dont vous avez besoin.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.