La Cnil a sanctionné une société pour avoir manqué à ses obligations, ayant entrainé la fuite d’informations médicales.
Le 23 février 2021, une fuite de données importante a été constatée, mettant en cause la société DEDALUS, qui commercialise des solutions logicielles pour les laboratoires d’analyse.
Dès le lendemain, la commission nationale de l’informatique et des libertés (Cnil) a effectué plusieurs contrôles et a, en parallèle, saisi le tribunal judiciaire de Paris qui a procédé au blocage du site où les informations ont été publiées.
Dans sa délibération SAN-2022-009 du 15 avril 2022, prise en formation restreinte, la Cnil a considéré que, à la suite des enquêtes effectuées, la société avait manqué à plusieurs obligations prévues par le règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
La première erreur concerne l’article 29 du RGPD, soit le manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement. Ce manquement tient à la migration d’un logiciel vers un autre outil, qui était demandée par deux laboratoires. Les données prélevées ont dépassé les instructions des responsables de traitement.
La deuxième trouve son origine dans l’article 32 du RGPD qui sanctionne le manquement à l’obligation d’assurer la sécurité des données personnelles. Ces erreurs sont à la fois techniques et organisationnelles : absence de procédure scientifique, de chiffrement des données, d’effacement des données après la migration, d’authentification pour accéder à la zone publique du serveur, de procédure de supervision et de remontées d’alertes.
Est aussi relevée l’utilisation de comptes partagés entre plusieurs salariés.
La troisième est celle correspondant au manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable du traitement. Il est à l’article 28 du RGPD.
Une amende de 1.500.000 € a aussi été infligée.