La CNIL condamne Dedalus Biologie à 1,5 million d’euros d’amende

En février 2021, des CR d’analyses médicales, réalisées entre 2015 et 2020 par 28 laboratoires situés dans le Morbihan, l’Eure, la Loire, les Côtes-d’Armor et le Loir-et-Cher, se retrouvent sur Internet : 491 840 personnes sont concernées par la fuite de données.

Les documents comprenaient le nom et le prénom du patient, son numéro de sécurité sociale, le médecin prescripteur, la date de l’examen, ainsi que des données médicales sensibles : VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, données génétiques…

Les 28 laboratoires utilisaient tous Mega-Bus, un logiciel de gestion des données médicales édité par Dedalus Biologie, qui n’était plus à jour et imposait une migration des données vers un autre outil. Ce 21 avril 2022, la CNIL a condamné Dedalus Biologie à 1,5 million d’amende, jugeant l’éditeur responsable de la fuite de données.

Dans le jugement, la CNIL pointe de très nombreux manquements « à l’obligation d’assurer la sécurité des données personnelles » :

• absence de procédure spécifique dans le cadre des opérations de migration de données ;
• absence de chiffrement de certaines données personnelles ;
• absence d’effacement automatique des données après migration vers l’autre logiciel ;
• absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur ;
• utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ;
• absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.