Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE

Dans sa décision du 15 avril 2022, la CNIL sanctionne la société DEDALUS BIOLOGIE à hauteur de 1,5 million d’euros en raison de défauts de sécurité ayant conduit à la fuite de données médicales de 500 000 personnes.

En février 2021, une fuite de donnée concernant près de 500 000 personnes a été révélée. Les nom, prénom, numéro de sécurité sociale, nom du médecin, date d’examen et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) de ces personnes ont ainsi été diffusés sur internet.

La CNIL a donc effectué des contrôles auprès de la société DEDALUS BIOLOGIE qui commercialise des solutions logicielles pour des laboratoires d’analyse médicale. Elle a constaté que cette dernière avait manqué à plusieurs obligations prévues par le RGPD, en particulier à l’obligation d’assurer la sécurité des données personnelles.

La CNIL relève ainsi un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (art. 29 RGPD) puisque les données migrées entre le laboratoire et le logiciel étaient plus importantes que prévues.

La CNIL constate également un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 RGPD) du fait des nombreux manquements techniques et organisationnels en matière de sécurité de la société DEDALUS BIOLOGIE (absence de chiffrement, d’effacement automatique, de procédure spécifique de migration…).

Enfin, la CNIL relève un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (art. 28 RGPD) puisque les conditions générales de vente de la société DEDALUS BIOLOGIE et les contrats de maintenance transmis ne contiennent pas les mentions prévues par l’article 28-3 du RGPD.

Ainsi, la formation restreinte de la CNIL a prononcé une amende de 1,5 million d’euros. Ce montant a été décidé au regard de la gravité des manquements retenus et en prenant en compte le chiffre d’affaires de la société DEDALUS BIOLOGIE.

Elle a également décidé de rendre publique sa décision.

Pour en savoir plus

Délibération SAN-2022-009 du 15 avril 2022

Avocat

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE

L'ÉQUIPE

LucasDallongeville

JoséphineLenglart Frémont

Christophe Fichet

LucileHerpoux

FrédériqueAllier

Juliette Goutorbe

Nicolas Moreau

BarbaraBertholet

AdrienMorisse

ElodieCourbo

Lucas
Dallongeville

Joséphine
Lenglart Frémont

Christophe
Fichet

Lucile
Herpoux

Frédérique
Allier

Juliette
Goutorbe

Nicolas
Moreau

Barbara
Bertholet

Adrien
Morisse

Elodie
Courbo