La CNIL inflige une amende de 1,5 millions d’euros à une société éditrice de logiciel suite à une fuite de données révélée par Libération

Début 2021, la presse a fait état d’une fuite importante de données de santé (identités, coordonnées, résultats d’examens médicaux…etc.) concernant environ 500 000 personnes. La Commission Nationale de l’Informatique et des Libertés a immédiatement mené des investigations et a pris les mesures nécessaires auprès des organismes concernés. En parallèle, saisi par la CNIL, le tribunal judiciaire de Paris avait adopté, le 4 mars 2021, une décision sollicitant les principaux fournisseurs d’accès à internet (FAI) afin qu’ils bloquent l’accès aux sites internet partageant les données piratées.

Plus d’un an plus tard, au terme d’investigations et de contrôles approfondis, la CNIL a identifié et sanctionné l’acteur à l’origine de cette violation de données. Il s’agit de la société Dedalus Biologie qui est éditeur de logiciels de gestion de laboratoires.

Par une décision en date du 15 avril 2022, la CNIL a infligé une amende de 1,5 millions d’euros à la société Dedalus Biologie au titre de trois manquements : un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (1), un manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement (2), et surtout l’obligation d’assurer la sécurité des données personnelles (3).

A titre liminaire, le rapporteur rappelle que la société éditrice du logiciel ne fait que « mettre à disposition des laboratoires les outils, notamment informatiques, pour faciliter la mise en œuvre des traitements et, d’autre part agit uniquement au nom et sous la responsabilité des laboratoires » qui utilisent ces outils. Mais nous verrons que cette qualification de « sous-traitant de données » n’exclut absolument pas la sanction.

1.      Un manquement à l’obligation pour le sous-traitant de n’agir que sur instruction(s) du responsable de traitement

Aux termes de l’article 29 du Règlement général sur la protection des données (RGPD), le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé juridiquement. A ce titre, le sous-traitant est tenu de respecter la mission confiée par le responsable de traitement et de s’abstenir d’aller au-delà.

Or précisément en l’espèce, la société Dedalus Biologie a « extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients ». Ce faisant, la société sous-traitante a traité les données médicales dont elle avait la charge selon des modalités qui excédaient les attentes des responsables de traitement. En effet, un laboratoire avait expressément demandé une limitation de la migration par rapport à des dates données, tandis qu’un autre n’avait pas été informé de l’extraction de certains commentaires associés aux patients.

En défense, la société Dedalus Biologie a indiqué que, matériellement, il ne lui était pas possible de procéder à une extraction filtrée des données du fichier de patients de sorte qu’elle était contrainte de procéder à une extraction totale, même si cela excédait les attentes des responsables de traitement.

La CNIL a donc retenu l’existence d’un manquement au titre de l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement.

2.      Un manquement à l’obligation d’encadrer, par un acte juridique, les traitements effectués pour le compte du responsable de traitement

Conformément à l’article 28 du RGPD, tout contrat de sous-traitance de données doit faire l’objet d’un document contraignant de type contrat ou CGV listant les obligations et des missions respectives du responsable de traitement et du sous-traitant. Les mentions obligatoires ainsi que les éléments importants du corps de l’acte juridique sont précisés aux termes de cet article.  Si le responsable de traitement est contraint de recenser par écrit tous les traitements que le sous-traitant est autorisé à faire pour son compte, le sous-traitant doit obligatoirement documenter l’activité de sous-traitance avec une certaine exhaustivité. C’est un point sur lequel la CNIL est particulièrement vigilante, en témoigne la récente délibération SAN-2021-020 du 28 décembre 2021 portant sanction de la société Slimpay.

En l’espèce, il ressort des contrôles effectués par la CNIL que les documents relatifs aux relations contractuelles entre Dedalus Biologie et les laboratoires ne comportaient pas les mentions requises par l’article 28 du RGPD.

En défense, la société sous-traitante fait valoir que l’obligation de matérialiser un acte juridique entre le sous-traitant et le responsable de traitement relève de leur responsabilité commune et qu’elle ne saurait être seule incriminée.

La CNIL évacue cet argument et indique clairement que le sous-traitant doit proposer un contrat de sous-traitance si le responsable de traitement ne le fournit pas. D’une part, elle relève que c’est la société sous-traitante elle-même qui transmet aux laboratoires « ses propres conditions générales de vente qui font office d’encadrement contractuel au titre du RGPD ». D’autre part, elle indique qu’aucun autre document transmis par la société sous-traitante ne fait état de ces mentions obligatoires. Enfin, elle énonce que bien qu’elle ait pris acte des efforts déployés par la société sous-traitante pour se conformer aux obligations tirées de l’article 28 du RGPD, celle-ci n’était toujours pas en conformité totale au jour de l’audition.

3.      Un manquement à l’obligation d’assurer la sécurité des données personnelles

Il ressort de l’article 32 du RGPD que le responsable de traitement et le sous-traitant doivent mettre en œuvre des « mesures techniques et organisationnelles » appropriées afin de garantir un niveau de sécurité adapté au risque. Ces mesures sont plurielles et diverses en ce qu’elles concernent aussi bien la sécurité physique que la sécurité informatique des données. Lorsqu’il s’agit de données sensibles, ces mesures doivent être d’autant plus adaptées au risque.   

Or les données médicales ne bénéficiaient pas d’une protection adaptée selon la CNIL. Ainsi indique-t-elle plusieurs écueils : «absence de chiffrement des données personnelles stockées sur le serveur problématique […] ; absence d’effacement automatique des données après migration […] ; absence d’authentification requise depuis internet pour accéder à la zone publique du serveur […] ; utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur […] ; absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.».

La CNIL relève que « plusieurs alertes successives auraient dû conduire la société à effectuer des investigations sur son système de sécurité ». En effet, début novembre 2020, l’Agence nationale de la sécurité des systèmes d’information (« l’ANSSI ») a constaté que des données médicales provenant d’un laboratoire étaient commercialisés sur le « darknet », c’est-à-dire un réseau internet alternatif anonyme et non référencé sur les moteurs de recherche traditionnels. Elle en avait avisé le laboratoire concerné lequel avait immédiatement prévenu à son tour la société Dedalus Biologie.

La CNIL relève également que le fichier de données était toujours accessible au lendemain de la parution, dans la presse, de l’article qui faisait état de la fuite de données.

L’Autorité conclut à l’existence d’un manquement à l’obligation d’assurer la sécurité des données personnelles.

La délibération précise que la sanction infligée (1,5 million d’euros) l’a été tant au regard des manquements constatés, de la sensibilité des données, qu’au regard du chiffre d’affaires de la société.

La CNIL ne manque pas de souligner qu’elle a dû elle-même saisir le juge pour demander le blocage auprès des FAI.

Cette décision est salutaire dans la mesure où elle sanctionne une violation de données qui a connu un fort retentissement médiatique et parce que les données rendues publiques peuvent rendre vulnérables les personnes figurant dans ce fichier (mentions de certaines maladies invalidantes, cancers etc).

Cependant, force est d’admettre les limites de l’intervention de la CNIL : si celle-ci peut sanctionner à titre individuel les sociétés à l’origine de failles générant des fuites de données, elle ne peut restreindre elle-même la violation de données qu’en ce qui concerne la France (blocage par les FAI français).

Or récemment encore, certains journalistes alléguaient que le fichier de données était toujours accessible[1].

Charlotte GALICHET

Anna BEJAOUI


[1] France 3 Centre Val de Loire, Fuite de données médicales de 108 000 Loirétains : 1,5 M d’euros d’amende pour l’éditeur de logiciels Dedalus, publié le 22 avril 2022.

Bookmark the permalink.

Comments are closed