L’autorité française a condamné Dedalus à une amende de 1,5 millions d’euros. Elle reproche notamment à la société de ne pas avoir pris des mesures de sécurité satisfaisantes pour les données personnelles.
Face à la gravité des faits, la Commission nationale de l’informatique et des libertés (Cnil) a décidé de sévir. Le 21 avril, elle a annoncé avoir sanctionné la société Dedalus d’une amende de 1,5 millions d’euros. Cette sanction financière est liée à la fuite de données médicales de près de 500 000 Français. Révélée dans la presse en février 2021, elle incluait « les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) », indique l’autorité française dans un communiqué.
Entreprise commercialisant des solutions logicielles pour des laboratoires d’analyse médicale, Dedalus a fait l’objet d’une enquête de la part de la Cnil après avoir été mise en cause dans cette fuite de données massive. La Commission a ainsi constaté plusieurs manquements au Règlement général sur la protection des données (RGPD).
Une fuite de données liée à des défauts de sécurité
La Cnil accuse surtout Dedalus de ne pas avoir mis en place des mesures de sécurité satisfaisantes pour protéger les données personnelles des Français. Elle affirme avoir remarqué plusieurs manquements techniques et organisationnels lors d’opérations de migration d’un logiciel vers un autre. Elle reproche à la société de ne pas avoir chiffré les données stockées sur le serveur problématique et de ne pas avoir procédé à un effacement automatique des informations après les avoir migré vers l’autre logiciel. Elle l’accuse également de ne pas demander une authentification depuis Internet pour accéder à la zone publique du serveur. « Cette absence de mesures de sécurité satisfaisantes est l’une des causes de la violation de données qui a compromis les données médico-administratives de près de 500 000 personnes », précise la Cnil.
La Commission estime que Dedalus n’a pas respecté les instructions du responsable de traitement étant donné qu’elle a extrait un volume de données plus important que celui requis lors de la migration d’un logiciel vers un autre outil. Cette opération avait été demandée par deux laboratoires utilisant les services de la société.
C’est, entre autres, à la suite de ces manquements constatés qu’elle a décidé de sanctionner financièrement Dedalus : « Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société », explique-t-elle.
