L’entreprise Dedalus condamnée à 1,5 million d’euros d’amende

Une fuite de données médicales qui avait fait grand bruit dans la presse et les chaumières. Le 23 février 2021, une divulgation d’informations massive concernant près de 500 000 personnes a été révélée dans les médias, qui mettait en cause la société Dedalus. La CNIL avait annoncé dès le lendemain mercredi 24 février 2021 qu’elle avait lancé une enquête pour savoir si les établissements (dont les données ont été volées) ont manqué à leurs obligations. Elle vient d’aboutir à la délibération le 15 avril 2022 à 1,5 million d’euros d’amende.

Une sanction qui ramène le sujet peu abordé lors du débat de l’entre-deux tours de l’élection présidentielle entre Marine Le Pen (RN) et Emmanuel Macron (LaREM) candidat à sa succession, de la sécurité réelle de nos données. Le règlement général de protections des données (RGPD), en plus de prodiguer des consignes de sécurisation des données, impose aux entreprises ayant subi une violation de leurs données de le signaler. Or la Commission nationale informatique et libertés (CNIL) déclarait ne pas en avoir été avertie. Plus inquiétant, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avait communiqué mercredi 24 février 2021, avoir identifié l’origine de cette fuite de données dès le mois de novembre 2020, et prévenu le ministre des Solidarités et de la Santé, Olivier Véran.

Lesdites informations étaient les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen, mais pas seulement. Plus dommageables pour les personnes elles-mêmes, des informations médicales à savoir si les patients sont atteints par le VIH, cancer, maladies génétiques, en situation de grossesses, les traitements médicamenteux suivis par le patient, ou encore des données génétiques ont ainsi été diffusées sur internet.

De nombreux manquements techniques et organisationnels en matière de sécurité ont été retenus à l’encontre de la société Dedalus Biologie dans le cadre des opérations de migration du logiciel vers un autre :

• absence de procédure spécifique pour les opérations de migration de données
• absence de chiffrement des données personnelles stockées sur le serveur problématique
• absence d’effacement automatique des données après migration vers l’autre logiciel
• absence d’authentification requise depuis internet pour accéder à la zone publique du serveur
• utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur
• absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur

« Cette absence de mesures de sécurité satisfaisantes est l’une des causes de la violation de données qui a compromis les données médico-administratives de près de 500 000 personnes. Un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD) », martèle la CNIL. Les articles 29 et 32 font également partie des manquements. Quand les opérateurs utilisant les Ransomware-a-as-Service attaquent des entreprises, tel Conti avec la cyberattaque subie par le Costa Rica, il faut souhaiter que l’exemple de Dedalus servent aux entités privées et publiques pour protégé, à défaut de retarder voire décourager les opérateurs malveillants de voler vos données comme les miennes.