En février 2021, on apprenait qu’un sous-traitant de laboratoires d’analyses médicales avait laissé fuiter les données de 500 000 personnes. La Cnil vient de sévèrement remonter les bretelles à ce sous-traitant, Dedalus Biologie, dont les manquements au RGPD était aussi nombreux que variés.
A l’époque, la fuite avait fait grand bruit : les données notamment de santé de près de 500 000 Français et Françaises étaient en vente sur quelque forum malfamé. Dans son enquête, Libération avait remarqué que les informations en question, datant d’une période s’étalant de 2015 à 2020, venaient d’une poignée de laboratoires d’analyses médicales dans plusieurs départements. Des labos qui avaient pour point commun d’utiliser le même logiciel de saisie de renseignements médico-administratifs, commercialisé par Dedalus France.
Ni une ni deux, la Cnil s’était emparée de l’affaire. Dès le lendemain de la publication de l’article de Libération, le gendarme des données personnelles effectue un contrôle sur pièces auprès de Dedalus France et Dedalus Biologie. Le 1er mars 2021, c’est dans les locaux de l’entreprise que la délégation de la Cnil se rend. Dans le même temps, le régulateur obtient de la justice que les fournisseurs d’accès internet bloquent l’accès au fichier.
Trop de données
Un peu plus d’un an plus tard, la Cnil rend son verdict et condamne Dedalus à une douloureuse de 1,5 millions d’euros, du fait des très nombreux manquements de la société.A commencer par un traitement d’un volume de données bien plus important que ce que les laboratoires clients de Dedalus avaient demandé. Car deux laboratoires ont eux aussi reçu la visite de la Cnil, qui y a constater que l’entreprise « a extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients ».
La faute à un ancien logiciel qui ne permettait que de procéder à une extraction totale du fichier des patients du laboratoire concerné, plaide Dedalus. Un argument peu recevable aux yeux de la Cnil, qui souligne en outre que les documents fournis en retour aux laboratoires « ne sauraient en réalité suffire à démontrer qu’elle a effectué les opérations d’extraction conformément aux instructions des laboratoires et que les laboratoires ont validé le contenu des extractions réalisées ».
Dernier élément notable, et qui pourrait bien faire jurisprudence, le régulateur estime que l’inadaptation d’un outil ne justifie pas un traitement de données outrepassant les instructions du responsable des traitements. « Elle aurait pu, par exemple, opter pour un autre outil lui permettant de respecter les instructions données par ses clients, comme elle indique le faire désormais, ou a minima supprimer toutes les données qui n’auraient pas dû être extraites » relève la Cnil.
Averti depuis mars 2020
Vient ensuite le sujet principal, les inévitables manquements à la sécurité des données. Entre l’absence de procédure spécifique quant aux migrations de données, l’absence de chiffrement sur le serveur FTP objet de l’intrusion, l’absence de mécanisme d’authentification côté public ou encore l’absence de procédure de supervision des alertes de sécurité sur le serveur, c’était la porte ouverte à toutes les fenêtres… et surtout à une fuite massive.
Pire encore, le délibéré de la Cnil nous apprend que Dedalus était au courant du problème, alerté en mars 2020 par un salarié. Puis, en novembre, c’est l’ANSSI en personne qui avait constaté la vente sur le darknet de données de patients d’un laboratoire. Lequel avait été prévenu et avait par la suite averti Dedalus. Ce n’est que le 24 février 2021, après que la fuite ait été rendue publique, que l’entreprise avait fait appel à une société forensic tierce.