Faille de sécurité : la CNIL sanctionne un sous-traitant éditeur de logiciels

La CNIL a prononcé une amende de 1,5 million d’euros à l’encontre d’un éditeur de logiciels pour divers manquements au RGPD révélés à la suite d’une faille de sécurité portant sur des données sensibles. 

La société DEDALUS a pour activité l’édition et la commercialisation de logiciels applicatifs à destination de laboratoires d’analyses médicales. 

Un article publié en février 2021 a révélé une fuite de données de grande ampleur touchant les patients des laboratoires clients de DEDALUS. Les données personnelles, principalement médicales, de près de 500 000 personnes avaient été rassemblées dans un fichier publié sur un site Internet. 

Le contrôle en ligne diligenté par la Commission Nationale de l’Informatique et des Libertés (CNIL) à la suite de la publication de cet article a révélé que ce fichier contenait notamment : les nom, prénom, numéro de sécurité sociale ainsi que des informations médicales (infections au VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis, ou encore des données génétiques) relatives aux personnes concernées.

Lors de ses opérations de contrôle, la CNIL a ainsi constaté que cette dernière avait manqué à plusieurs de ses obligations au titre du Règlement Général sur la Protection des données (RGPD)[1], et en particulier à l’obligation d’assurer la sécurité des données personnelles en tant que sous-traitant. 

En parallèle, la Commission saisissait en référé le Tribunal judiciaire de Paris afin qu’il ordonne aux fournisseurs d’accès Internet de bloquer l’accès au site hébergeant les données divulguées. Par ordonnance du 4 mars 2022, le Tribunal faisait droit à ces demandes, permettant ainsi de limiter autant que possible les conséquences dommageables de cette fuite de données sensibles. L’absence d’initiative du laboratoire en ce sens a d’ailleurs été prise en compte par la CNIL lors de la détermination du montant de l’amende.

Au terme de ses investigations, la formation restreinte a prononcé, dans une délibération du 15 avril 2022, une amende d’un montant de 1,5 million d’euros à l’encontre de la société DEDALUS sur le fondement de divers manquements au RGPD. 

Manquement à l’obligation d’assurer la sécurité des données traitées

L’article 32 du RGPD[2] impose à la fois au responsable de traitement et au sous-traitant de mettre en place des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité des données traitées[3]. Le choix des mesures dépend du risque que représente le traitement pour les droits et libertés des personnes concernées. Ces mesures peuvent notamment être la pseudonymisation et le chiffrement des données à caractère personnel, mais aussi la mise en place de procédures internes de gestion des incidents de sécurité. 

La CNIL relève que DEDALUS a manqué à cette obligation. Elle constate que même les mesures de sécurité les plus élémentaires, comme le chiffrement des données ou leur effacement automatique après migration, n’avaient pas été mises en place. Elle relève également que l’éditeur n’avait pas mis en place une procédure d’authentification pour accéder à une zone publique du serveur depuis Internet, et critique le partage entre plusieurs salariés des comptes utilisateurs pour se connecter à la zone privée de ce serveur. 

Elle pointe également l’absence de mise en place mesures organisationnelles et notamment de procédures internes pour prévenir et/ou pallier les incidents de sécurité. Pourtant, un salarié de l’éditeur avait averti DEDALUS de l’existence de problèmes de sécurité dès le mois de mars 2020. De même, l’ANSSI l’avait alertée dès novembre 2020 de la diffusion et de la vente des données des patients de ses clients sur Internet.

DEDALUS soutenait par ailleurs qu’il n’était pas démontré que les manquements à ses obligations de sécurité avaient à eux seuls causé la fuite de données et la diffusion du fichier litigieux sur Internet.  L’enquête en ligne de la CNIL a cependant permis d’identifier des connexions suspectes à un des serveurs de la société. Le fichier litigieux était d’ailleurs constitué à 90 % de données contenues sur ce serveur compromis de DEDALUS. Ces éléments ont permis à la Commission de faire le lien entre les manquements aux obligations de l’article 32 et la faille de sécurité.  

Manquement à l’obligation de ne traiter des données que sur instruction du responsable de traitement 

Aux termes de l’article 29 du RGPD[4], le sous-traitant ne peut traiter les données que sur instruction du responsable de traitement et pour les finalités déterminées par ce dernier. 

Or en l’espèce, la CNIL a noté que lorsqu’elle réalisait, à la demande de ses clients, les opérations de migration de l’un de ses anciens logiciels vers un nouveau, DEDALUS, procédait à l’extraction d’un volume de données plus important que celui requis. 

Pour justifier le traitement litigieux, la société DEDALUS soutenait que l’outil utilisé pour la migration ne lui permettait pas de filtrer les données à extraire, mais lui permettait simplement d’extraire la totalité des fichiers. La CNIL réfute cet argument au motif que la société ne peut se prévaloir de l’inadaptation de l’outil pour justifier son manquement. Par ailleurs, la formation restreinte considère que la société ne rapporte pas la preuve que les laboratoires clients auraient validé l’étendue des extractions réalisées.

Manquement à l’obligation d’encadrer contractuellement les relations entre responsable de traitement et sous-traitant

Enfin, les conditions générales de vente et les contrats de maintenance de la société ne contenaient pas les mentions prévues par l’article 28 du RGPD[5], qui permettent d’encadrer le traitement réalisé par le sous-traitant. 

DEDALUS soutenait qu’elle ne saurait être tenue seule responsable de ce manquement dans la mesure où l’article 28 du RGPD s’impose tant au responsable de traitement qu’au sous-traitant. La CNIL lui répond que la responsabilité du sous-traitant peut être engagée de façon autonome, d’autant plus qu’en l’espèce l’éditeur était le rédacteur des différents contrats et conditions applicables.

En outre, les différents contrats conclus par la société n’avaient pas été mis à jour depuis l’entrée en vigueur du RGPD en 2018. La CNIL est restée indifférente à l’argument de la société selon lequel elle avait entamé des démarches de mise en conformité, celle-ci n’étant pas effective au moment des constatations.

Lire la délibération du 15 avril 2022 de la CNIL 


[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données))

[2] Article 32 du RGPD

[3] Voir nos précédents billets relatifs aux condamnations de Free Mobile et de Slimpay pour manquement aux obligations de l’article 32 du RGPD.

[4] Article 29 du RGPD

[5] Article 28 du RGPD

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.

Rechercher
Fermer ce champ de recherche.