Alors que la numérisation et les flux des données de santé sont de plus en plus importants, leur protection inquiète autant les acteurs de santé que les particuliers. Le 21 avril 2022, la Cnil a prononcé à l’encontre de la société Dedalus Biologie une amende administrative d’un montant de 1,5 millions d'euros et a rendu public sa décision étant donné l’ampleur du dossier.

Tout part d’un article de Libération

Le 23 février 2021, un article de presse intitulé " Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne " a été publié par le journal Libération. Cet article faisait état de la présence sur un forum d’un lien de téléchargement vers un fichier contenant les données médico-administratives de près de 500 000 personnes. Les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) de ces personnes ont ainsi été diffusés sur internet.

cnil-logo_rvb.jpgDès le 24 février 2021, la CNIL a effectué plusieurs contrôles, notamment auprès de la société Dedalus Biologie qui commercialise des solutions logicielles pour des laboratoires d’analyse médicale.

En parallèle, la CNIL a saisi le tribunal judiciaire de Paris qui a bloqué l’accès au site sur lequel étaient publiées les données ayant fuité. Cette décision du 4 mars 2021 a permis de limiter les conséquences pour les personnes.

Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD, en particulier à l’obligation d’assurer la sécurité des données personnelles.

La formation restreinte a ainsi prononcé une amende de 1,5 million d’euros et a décidé de rendre publique sa décision. Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société Dedalus Biologie.

De nombreuses fautes relevées

De nombreux manquements techniques et organisationnels en matière de sécurité ont été retenus à l’encontre de la société Dedalus Biologie dans le cadre des opérations de migration du logiciel vers un autre :

- Absence de procédure spécifique pour les opérations de migration de données ;

- Absence de chiffrement des données personnelles stockées sur le serveur problématique ;

- Absence d’effacement automatique des données après migration vers l’autre logiciel ;

- Absence d’authentification requise depuis internet pour accéder à la zone publique du serveur ;

- Utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ;

- Absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

De son côté, le parquet de Paris a ouvert une enquête pour retrouver les auteurs du piratage informatique et de la mise en ligne. Les données de santé peuvent être utilisée à des fins frauduleuses pour usurper une identité et organiser des arnaques comme établir de fausses ordonnances.