La CNIL a sanctionné la société DEDALUS BIOLOGIE[1] le 15 avril 2022, pour des manquements relatifs au RGPD.

La société DEDALUS BIOLOGIE commercialise des logiciels à destination des laboratoires d’analyses médicales, notamment les logiciels nommés « KALISIL » et « MEGABUS ». Ces logiciels sont utilisés par environ trois mille laboratoires privés et environ cinquante établissements publics de santé[2]. La société DEDALUS réalise, par ailleurs, des prestations de service pour ses clients, notamment l’installation et la maintenance des applications vendues.

Le 23 février 2021, un article de presse affirme que les données de près de 500 000 patients français ont été dérobées à des laboratoires et sont diffusées sur Internet. Les contrôles réalisés par la CNIL confirment l’essentiel des faits relatés. Le document qui circule sur la toile contient effectivement les données personnelles et médicales de 491 840 patients, notamment :

  • leur nom, prénom, sexe, adresse postale, numéro de téléphone, adresse e-mail, date de naissance, et les coordonnées de leur médecin ;
  • des informations relatives aux « pathologies des patients (VIH, cancers, maladies génétiques), à l’état de grossesse, aux traitements médicamenteux suivis par le patient ou encore des données génétiques » ;
  • leur identifiant et mot de passe à leur espace personnel.

La source de ces données n’a pas pu être établie avec certitude. Un serveur de fichiers (FTP) appartenant à la société DEDALUS contenait cependant un document, publiquement accessible, qui contenait 90 % des données du fichier en circulation sur le Net. Ce document avait été créé par la société DEDALUS BIOLOGIE pour le compte de l’un de leurs clients suite à la migration de son logiciel « MEGABUS ».

La CNIL a rappelé à la société DEDALUS que les opérations qu’elle effectue pour le compte de ses clients doivent être encadrées par un acte juridique[3] contenant certaines mentions particulières[4] et que cette obligation « incombe tant au responsable de traitement [les laboratoires dans ce cas] qu’au sous-traitant [la société DEDALUS] ». Les conditions générales de vente proposées par la société DEDALUS aux laboratoires ne comportaient cependant « aucune des mentions requises ». Un contrat de maintenance consulté par la Commission comportait, par exemple, « une partie dédiée aux données à caractère personnel, mais qui ne répond pas aux exigences de l’article 28 du RGPD et vise des dispositions obsolètes de la loi Informatique et Libertés ».

La Commission française a également rappelé à la société DEDALUS, qu’en tant que sous-traitant des laboratoires, la société peut traiter des données à caractère personnel uniquement « sur instruction du responsable du traitement »[5], à savoir des laboratoires. La société DEDALUS BIOLOGIE procédait cependant, dans le cas des opérations de migration de logiciels, à l’extraction d’« un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients ».

Enfin et non des moindres, la CNIL reproche aussi à la société DEDALUS BIOLOGIE un manque de sécurité sur le serveur sur lequel était hébergé le fichier contenant les données personnelles divulguées, notamment :

  • l’absence d’authentification sur la partie publique du serveur ;
  • l’absence de chiffrement des données à caractère personnel ;
  • l’absence d’effacement automatique des données après la migration d’un logiciel ;
  • l’utilisation de comptes partagés par plusieurs salariés pour accéder à la partie privée du serveur[6] ;
  • l’absence de procédure de supervision ;
  • l’absence de remontée d’alertes de sécurité.

La Commission considère que « plusieurs mesures de sécurité élémentaires en matière de sécurité faisaient défaut » et que cela a « conduit à rendre accessibles lesdites données à des tiers, et ce malgré des alertes préalables à la violation de données à caractère personnel ». Dès mars 2020, un ancien salarié de la société DEDALUS BIOLOGIE avait, en effet, effectué un signalement à son employeur concernant des problèmes de sécurité. L’ANSSI avait fait de même en novembre 2020.

Une amende de 1 500 000 € a été prononcée à l’encontre de la société DEDALUS BIOLOGIES, soit 0,19 % du chiffre d’affaires mondial de l’entreprise[7].

Lire :

Ma réaction à cette décision

La société DEDALUS BIOLOGIE appartient au mastodonte DEDALUS, une très grande entreprise italienne spécialisée dans les logiciels médicaux qui a pour objectif de réaliser un milliard d’euros de chiffre d’affaires en 2022[8]. En France, les logiciels de Dedalus sont utilisés dans des milliers d’établissements, ce qui n’est guère rassurant.

Les professionnels de la santé font appel à ce type de sociétés car les données de santé nécessitent une attention particulière et car ils ne disposent généralement pas ou peu de ressources qualifiées en interne. En sous-traitant l’installation, le développement et/ou la maintenance de leurs logiciels de santé à la société Dedalus, les professionnels espèrent que les données de leurs clients seront bien traitées et bien protégées. La réalité est malheureusement bien différente, malgré les promesses de Dedalus, qui indique que « le client et la sécurité [des] données sont au cœur de [ses] préoccupations ».

Les lecteurs assidus de ce site remarqueront, au passage, que ce n’est pas la première fois que le nom de Dedalus est cité. L’article[9] dédié à la sécurité des données de santé du laboratoire d’analyses médicales Biogroup en parle déjà, car le logiciel transmettant les données de santé des patients par e-mail est manifestement édité par la société Dedalus.

Pour en revenir à la délibération, il est intéressant de constater que c’est la société Dedalus qui a été sanctionnée, mais pas les professionnels de santé dont les données des clients ont été divulguées. Ils sont pourtant les « responsables du traitement » au sens du RGPD. Les noms de ces professionnels ont même été retirés de la délibération. Cela n’est pas surprenant, car personne n’est dupe dans cette histoire. Ceux qui possèdent la connaissance et ont la capacité de modifier les logiciels ne sont pas les professionnels mais la société Dedalus. Les professionnels n’ont certainement pas leur mot à dire. La CNIL mentionne, par exemple, que c’est la société Dedalus qui impose ses conditions générales de vente, mais pas l’inverse, preuve du rapport de force entre les deux acteurs.

Il est également intéressant de constater que la première réaction de la CNIL, suite à la diffusion sur Internet du document contenant les données personnelles des patients, est d’ordonner à tous les fournisseurs d’accès à Internet (FAI) français de bloquer l’accès à ce document. Cette opération de blocage n’a cependant que très peu d’intérêt, car seuls les internautes néophytes français sont concernés et car le document sera probablement copié de nombreuses fois. Le document continuera d’être partagé. Le mal est fait. Il ne peut pas être réparé. Éspérons que le montant de l’amende les incitera, eux et les autres acteurs, à être plus sérieux avec les données de santé des patients. J’en doute.

Notes et références

  1. La société DEDALUS BIOLOGIE avait comme ancienne dénomination NETIKA SAS.
  2. Les solutions éditées par la société DEDALUS BIOLOGIE sont utilisées par « environ trois mille laboratoires de biologie médicale privés et entre trente et cinquante laboratoires d’analyses d’établissements publics de santé » (source : CNIL, SAN-2022-009, 15 avril 2022, Dedalus Biologie, §3).
  3. Le RGPD demande que « le traitement par un sous-traitant [soit] régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement […] » (source : RGPD, article 28-3).
  4. Lorsque un responsable de traitement sous-traite une activité, le RGPD demande de réaliser un contrat avec certaines mentions particulières, notamment : « l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement » (source : RGPD, article 28-3).
  5. Le RGPD indique que « le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement » (source : RGPD, article 29).
  6. Pour des raisons de sécurité, il est déconseillé d’accéder à des applications sensibles ou contenant des données personnelles à partir d’un compte partagé. Voir « Quels sont les risques à partager l’accès d’un compte ? ».
  7. La société DEDALUS déclare avoir un chiffre d’affaires de 760 millions d’euros en 2021 (source : Dedalus, Article de mars 2022, en anglais).
  8. Le CEO de la société Dedalus, Andrea Fiumicelli, déclare avoir comme objectif d’atteindre un milliard de chiffre d’affaires en 2022 (source : Dedalus, Article de mars 2022, en anglais).
  9. Les laboratoires d’analyses médicales Biogroup utilisent manifestement le logiciel de la société Dedalus pour envoyer les résultats des analyses de leurs partients. Voir « Les laboratoires Biogroup transmettent les données de santé de millions de patients par e-mail sans réelle sécurité ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données
  • ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information