Emmanuel Mougeotte (Dedalus) : “À la suite du contrôle de la CNIL, nous avons redéfini tout notre réseau interne global”

La Cnil a dévoilé en avril dernier la sanction à l’encontre de Dedalus Biologie pour la violation de données de près de 500 000 personnes. D’où venait cette faille ?

La révélation de cette importante violation de données en février 2021 nous a pris par surprise. Indépendamment du contrôle mené par la Cnil en mars 2021, nous avons aussitôt procédé à un état des lieux pour comprendre ce qui s’était passé. Nos investigations ont montré que cette violation était liée à des clients Dedalus qui avaient utilisé une très vieille solution : DXLab One. Rachetée par Dedalus il y a très longtemps, cette solution était en fin de vie et nous avions annoncé en 2017 l’arrêt de sa maintenance en 2019.

Le compte-rendu publié par la Cnil souligne plusieurs manquements en matière de RGPD mais aussi de sécurité…

Ces faiblesses ont été identifiées par Dedalus au cours des différents audits techniques, organisationnels et procéduraux menés en interne entre mars et mai 2021. Nous nous sommes rendu compte des écarts qui existaient avec certaines dispositions prévues par le RGPD, mais aussi de faiblesses en termes de cybersécurité, de surveillance et de remédiation. Le groupe Dedalus se compose de beaucoup d’entités et ces audits ont permis de cartographier où nous avions des faiblesses et où nous étions robustes. Ainsi, nous avons priorisé nos actions. Nous avons conscience que les questions de cybersécurité et de données sensibles nécessitent d’augmenter nos défenses en permanence, c’est un processus constant.

Quelles actions ont été menées par Dedalus pour se mettre en conformité ?

Nous avons développé un plan d’actions, au niveau du groupe, sur 4 axes :

• technique : portant principalement sur la protection de notre système d’information (SI) interne,
• organisationnel : nous avons renforcé les équipes RSSI et construit une équipe de cybersécurité pour le SI business dont le rôle est d’accompagner les clients dans la sécurisation de leur propre SI utilisant nos solutions. Nous avons également renforcé l’équipe DPO en France et dans le monde,
• procédural : nous avons mené un travail de fond de documentation sur le RGPD, notamment sur nos contrats avec nos clients et fournisseurs car certains éléments avaient besoin d’une mise en conformité,
• sensibilisation et montée en compétences : nous avons développé la formation en interne pour s’assurer que tous les collaborateurs sont sensibilisés à ces enjeux. Nous avons par exemple lancé “Les mercredis de la sécurité”, des vidéos sur différentes thématiques (traitement des données personnelles, cybersécurité, bonnes pratiques…) chapitrées comme une série télévisée, en épisodes, que recevaient chaque mercredi les 6 500 collaborateurs du groupe dans le monde.

Ce plan d’actions a été mis en place du printemps jusqu’à la fin de l’année 2021, certaines actions sont toujours en cours.

Qu’est-ce qui a changé dans votre approche à la suite de cette affaire ?

Aujourd’hui, nous avons redéfini tout notre réseau interne global au niveau du groupe. Nous avons également revu toute notre stratégie d’utilisation de datacenter. Nous regroupons tous nos assets informatiques internes sur une infrastructure unique, pour tout le groupe, basée en partie à Paris, à Francfort et à Milan. Nous avons pour cela développé une approche basée sur le risque : les éléments les plus risqués ont été protégés en premier, puis les moins risqués sont protégés dans un second temps. Tout ceci a été mis en place pendant que la Cnil travaillait sur ses contrôles, donc lorsqu’elle a rendu sa décision en avril dernier, cette dernière portait sur l’entité  Dedalus Biologie de mars 2021 et non pas sur celle de 2022. Aujourd’hui, un nouveau contrôle donnerait un nouveau résultat. Tout le travail mené depuis un an nous a fait progresser.

La Cnil a décidé de rendre sa décision concernant Dedalus Biologie publique. Avez-vous été surpris par ce choix ?

La Cnil c’est le gendarme du RGPD, elle est donc dans son rôle en signalant les manquements. Se pose la question de la sanction, qui comprend deux éléments : l’amende, qui est la sanction la plus poussée que la Cnil puisse promulguer, avec un montant très élevé, et le fait de la rendre publique. Nous aurions évidemment préféré que la sanction soit plus basse et non publique… Que la Cnil nous sanctionne est normal : nous avons été inspectés et des problèmes ont été trouvés. Maintenant, je sais que cette sanction résonne comme un vrai choc dans tout l’écosystème car le nombre de cyberattaques explose. Et certains clients savent bien qu’ils peuvent eux aussi être concernés par une violation de données demain. Il y a une inquiétude réelle face à la Cnil qui, probablement du fait du retentissement médiatique, a décidé de faire un exemple avec Dedalus Biologie. Le message est très clair, pour tout le monde.

Quel investissement représente ces actions menées depuis un an ?

Cela représente plusieurs millions d’euros.

Vous évoquez le montant important de l’amende. Son paiement aura-t-il un impact sur les résultats économiques du groupe ?

Non. Une amende de 1,5 M€ fait mal, certes, mais notre groupe est solide. Dedalus a réalisé 750 M€ de chiffre d’affaires l’an dernier, il n’y a donc pas d’inquiétudes à avoir sur la santé du groupe.

Un des problèmes soulevés par la Cnil portait sur l’encadrement juridique des opérations réalisées avec vos clients. Comment avez-vous corrigé cela ?

Durant l’année 2021, nous avons revu tous les termes de nos contrats avec nos clients et nos fournisseurs, en Europe et hors-Europe, appuyés par les meilleurs spécialistes sur la partie contractuelle du RGPD. Cela représente des milliers de contrats revus. Depuis le début de l’année, je crois que nous avons envoyé 6000 annexes RGPD à nos clients pour corriger les failles. Désormais, tous les contrats à venir disposent de cette annexe RGPD dans nos processus achats. Néanmoins, tout cela évoluant au gré des discussions européennes, notamment autour du Health Data Space par exemple, nous avons également développé nos processus de veille juridique et réglementaire, afin de calquer l’évolution de notre documentation et nos contrats sur celle de la réglementation.

En début d’année, Dedalus affichait l’ambition d’obtenir la labellisation Hébergeurs de Données de Santé (HDS). Cet objectif est-il décalé ?

Non, nous visons toujours la labellisation HDS à la fin de l’année 2022. Nous ne partons pas d’une feuille blanche. La labellisation HDS repose en partie sur les normes ISO 27 000 et ISO 20 000, et certaines parties de notre organisation sont déjà conformes à ces normes. Nous capitalisons donc sur l’existant pour l’étendre aux autres parties de notre organisation. Le travail documentaire est en cours et nous sommes en train de nous assurer d’être audité avant la fin de l’année.

La stratégie d’hyper croissance de Dedalus passe notamment par plusieurs acquisitions chaque année, à raison de 2-3 acquisitions par trimestre au niveau du groupe (8 en tout en 2021). Quelle est votre stratégie d’acquisition ?

Notre stratégie d’acquisition est basée sur 3 piliers. Le premier est la volonté d’entrer sur un marché où nous ne sommes pas présents. Par exemple, le rachat d’Agfa en 2020 nous a permis de nous implanter sur le marché allemand, où nous n’étions pas encore. Cela nous a également permis de devenir numéro un sur le DPI, passant devant Maincare en termes de nombre de GHT (plus de 40 aujourd’hui) utilisant le DPI Dedalus.

Deuxième pilier : compléter notre offre produit. Cela signifie acquérir des technologies qui nous manquent. Par exemple, l’an dernier nous avons acquis la société danoise Amphi system qui développe des SI pour la prise en charge des urgences pré-hospitalières (équivalent du SAMU, SMUR, ambulances…). C’est un domaine que l’on ne touchait pas. Or, il s’agit d’un pan important du système de santé. Nous n’avions pas de solution en interne, et comme à chaque fois, nous devons arbitrer entre deux options : développer la technologie nous-mêmes ou l’acquérir. Dans ce cas précis, nous avons choisi l’acquisition.

Enfin, le troisième pilier consiste à renforcer notre position sur un marché où nous sommes déjà présents, soit pour augmenter notre part de marché, soit pour ajouter des segments sur lesquels nous ne sommes pas. Ainsi, pour renforcer notre position en Allemagne, où nous étions très présents sur l’hospitalier, nous avons fait l’acquisition l’an dernier des deux principales sociétés allemandes de SI pour les laboratoires de biologie médicale. Cela nous a permis d’étendre notre position dans le pays en s’implantant sur des segments que nous ne couvrions pas jusqu’alors.