La CNIL annonce avoir infligé une amende de 1,5 million d’euros à Dedalus Biologie concernant une importante fuite de données de santé. Cela a concerné les données de près de 500 000 personnes.
Grosse amende pour Dedalus et sa fuite de données de santé
« Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société Dedalus Biologie », indique la CNIL. Les données accessibles comprenaient les noms, prénoms, numéros de sécurité sociale, noms du médecin prescripteur, dates de l’examen mais aussi (et surtout) des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques), fait savoir le gendarme des données personnelles. La fuite avait été révélée en février 2021.
Dedalus s’est rendu coupable de nombreux manquements techniques et organisationnels en matière de sécurité dans le cadre d’opérations de migration d’un logiciel vers un autre, a indiqué la CNIL. Parmi les manquements retenus, le groupe cite notamment l’absence de chiffrement des données personnelles sur le serveur problématique et l’absence d’authentification requise pour accéder à la zone publique du serveur depuis Internet. La Commission mentionne également l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur.
La fuite de données avait concerné 28 laboratoires dans 6 départements des régions Bretagne, Centre-Val de Loire et Normandie. L’armée française, y compris certains membres des services de renseignement extérieur, avait également été concernée par ce piratage.
À la suite de la révélation de la circulation des données, le tribunal judiciaire de Paris avait ordonné aux fournisseurs d’accès à Internet français (Orange, SFR, Bouygues Telecom et Free) le blocage d’un site sur lequel étaient publiées les données ayant fuité. Une enquête judiciaire avait également été confiée à la section cybercriminalité du parquet de Paris.
