En février 2021 a été constatée une fuite colossale de données de santé. 500 000 personnes (parmi lesquels 1 700 militaires) étaient concernées. La nature des données collectées et divulguées (identité, résultats d'examens...) a permis de rapidement cerner leur origine tandis que la CNIL saisissait le tribunal judiciaire de Paris en référé, celui-ci ordonnant aux fournisseurs d'accès Internet (Orange, SFR, Bouygues Telecom et Free) de bloquer l'accès au site hébergeant les données piratées. Un an plus tard, au terme des investigations, la CNIL a sanctionné l'éditeur Dedalus Biologie après avoir constaté de très graves manquements. Et la sanction est à la hauteur de la gravité des faits : 1,5 million d'euros d'amende.
Le groupe Dedalus est l'un des principaux éditeurs de solutions dédiées aux métiers de la santé. Il a, il y a deux ans, racheté Agfa Healthcare, éditeur de la suite Orbis destinée au traitement des dossiers patients en hôpitaux, solution concurrente de sa propre suite, DxCare. Dans sa gamme de produits, le groupe Dedalus dispose également de logiciels destinés aux laboratoires de biologie médicale, certains issus de rachats successifs. Dès le 24 février 2021, la CNIL a opéré un contrôle au sein de Dedalus Biologie. De nombreux manquements ont ainsi été détectés en lien avec une opération banale, à savoir la préparation de la migration de deux clients d'une solution obsolète de Dedalus Biologie (Megabus / Dxlab One) vers une nouvelle solution du même éditeur (Kalisil). Si les responsables de traitements étaient bien les deux laboratoires ayant commandé la migration, la CNIL a uniquement cherché la responsabilité du sous-traitant, Dedalus Biologie, seul acteur des manquements, conformément aux règles du RGPD.
Six manquements graves
Les deux laboratoires avaient commandé une extraction de leurs données sur une plage de dates et seulement certains champs. Or l'éditeur a exporté, pour répondre à cette commande, la totalité des données, donc au-delà de la commande du responsable de traitement. Cette extraction a ensuite été stockée sur un serveur mal sécurisé accessible relativement simplement par Internet (FTP Megabus). Or, circonstance aggravante, dès mars 2020, un ancien salarié de la société Dedalus Biologie avait signalé à son employeur les risques de sécurité en question. La CNIL relève cependant que l'éditeur a fait preuve de réactivité une fois la crise avérée, avec commande d'une analyse forensique rendue un mois plus tard et l'apport de correctifs à ses procédures.
En tout, la CNIL a relevé six manquements graves : « absence de procédure spécifique pour les opérations de migration de données ; absence de chiffrement des données personnelles stockées sur le serveur problématique ; absence d'effacement automatique des données après migration vers l'autre logiciel ; absence d'authentification requise depuis internet pour accéder à la zone publique du serveur ; utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ; absence de procédure de supervision et de remontée d'alertes de sécurité sur le serveur. » A cela s'ajoutait des conditions générales de ventes, jouant le rôle de contrat avec les clients, n'incluant pas les dispositions rendues obligatoires par le RGPD.
Commentaire