La Commission nationale de l'informatique et des libertés (CNIL) vient d'annoncer avoir infligé une amende d’1,5 millions d’euros à Dedalus, fournisseur de logiciel impliqué dans la fuite de données médicales de 500 000 Français.

Une fuite de données importante

Le 23 février 2021, la presse a révélé qu’une base de données contenant les informations médicales d’un demi-million de Français étaient en accès libre sur la toile. Rapidement, la société Dedalus, qui commercialise un logiciel à plusieurs laboratoires, a été mise en cause. Quelques mois plus tard, le gouvernement promettait des « sanctions extrêmement fortes » en cas de négligence.

Les données concernées étaient particulièrement sensibles et comprenaient « les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) de ces personnes ont ainsi été diffusés sur internet », explique la CNIL dans son communiqué.

La Commission a rapidement fait des contrôles auprès de Dedalus et a également saisi le tribunal judiciaire de Paris qui a ordonné le blocage du site abritant ces informations dès le 4 mars 2021, ce qui a « permis de limiter les conséquences pour les personnes ».

Une amende pour nombreux manquements repérés par la CNIL

Plus d’un an plus tard, la CNIL rend donc son verdict dans cette affaire en infligeant une amende d’1,5 million d’euros à Dedalus, sanction décidée « décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société ».

Des drapeaux européens.

La CNIL estime que Dedalus n'a pas respecté le RGPD, loi européenne sur la protection des données personnelles. Photographie : Christian Lue / Unsplash

Le régulateur explique que l’entreprise a manqué à de nombreuses obligations prévues par le Règlement général sur la protection des données (RGPD). Ainsi, la CNIL a dénoncé l’absence « de procédure spécifique pour les opérations de migration de données » et de « de chiffrement des données personnelles stockées sur le serveur problématique ». En outre, Dedalus n’a pas effacé automatiquement les données après leur migration vers un autre logiciel.

Enfin, la Commission a noté l’absence « de procédure de supervision et de remontée d’alertes de sécurité sur le serveur » ainsi que « l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ».

Dedalus promet avoir effectué de nombreux changements

Pour l’heure néanmoins, les auteurs du vol et de la vente des données en ligne n’ont pas été identifiés. De son côté, Dedalus assure avoir eu recours à de nombreux changements depuis que cette affaire a été mise en lumière. Comme l’explique Le Monde, la firme déclare avoir « déployé toutes les mesures possibles » pour « identifier d’éventuelles vulnérabilités » et avoir travaillé à « remédier aux manquements relevés par la CNIL ».

Elle assure également avoir procédé au « renforcement de certaines infrastructures IT », à « l’amélioration de plusieurs procédures internes et externes », lancé « un volet important de formation interne » et réalisé des « embauches additionnelles » dans les services responsables de la cybersécurité de l’entreprise.