La Cnil sanctionne Dedalus Biologie après une fuite massive de données

La société Dedalus Biologie écope d’une amende de 1,5 million d’euros de la part de la Cnil, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes en février dernier, a-t-on appris ce jeudi. “Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société Dedalus Biologie”, note ainsi la Cnil dans son communiqué diffusé le 21 avril 2022. Dedalus France avait confirmé le 26 février 2022 “investiguer sur un grave acte de cybercriminalité ayant conduit à la violation de données de certains de ses clients laboratoires”.

La Cnil invoque plusieurs manquements

Sur la base des constatations effectuées lors des contrôles, la formation restreinte (organe de la Cnil chargé de prononcer les sanctions) a considéré “que la société avait manqué à plusieurs obligations prévues par le RGPD, en particulier à l’obligation d’assurer la sécurité des données personnelles”, explique-t-elle, listant 3 manquements :

• Un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD) : “La société a traité des données au-delà des instructions données par les responsables de traitement”, invoque la Cnil.
• Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD), avec “de nombreux manquements techniques et organisationnels en matière de sécurité”. La Cnil en détaille six, dont “une absence de chiffrement des données personnelles stockées sur le serveur problématique”, “une absence d’authentification requise depuis internet pour accéder à la zone publique du serveur” ou encore “l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur”. “Cette absence de mesures de sécurité satisfaisantes est l’une des causes de la violation de données qui a compromis les données médico-administratives de près de 500 000 personnes”, estime la Cnil.
• Un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD). “Les conditions générales de vente proposées par la société DEDALUS BIOLOGIE et les contrats de maintenance transmis à la CNIL ne contiennent pas les mentions prévues par l’article 28-3 du RGPD”, conclut la Cnil.

Dedalus Biologie “fait face à ses responsabilités”

Contacté par mind Health, Dedalus a fait part de sa mobilisation depuis la révélation de cette cyberattaque “pour d’une part identifier d’éventuelles vulnérabilités et d’autre part renforcer les process internes et externes ainsi que les infrastructures afin de remédier aux manquements relevés par la CNIL, assurer un niveau de protection optimal des données traitées, renforcer les procédure de lutte contre les cyberattaques et éviter, autant que possible, la survenance de tout incident de sécurité.”

Dedalus souligne également qu’un plan d’amélioration a été mis en œuvre depuis le printemps 2021, avec des mesures comprenant le renforcement de certaines infrastructures IT, l’amélioration de plusieurs procédures internes et externes, une révision complète des processus liés au RGPD ainsi qu’un volet important de formation interne. “Dedalus Biologie fait face à ses responsabilités et est pleinement mobilisée afin d’atteindre le meilleur niveau de sécurité et de conformité au RGPD”, conclut la société.