La CNIL a sanctionné la société Dedalus Biologie d’une amende de 1,5 million d’euros au motif principal de « défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes ».
Le 23 février 2021, des révélations dans la presse concernant une fuite de données médicales massive mettaient en cause la société Dedalus qui commercialise des solutions logicielles pour laboratoire d'analyse médicale. Les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) de 500 000 personnes ont ainsi été diffusées sur le web.
Sur la base des constatations effectuées lors de contrôles, la formation restreinte de la CNIL a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD, en particulier à l’obligation d’assurer la sécurité des données personnelles. Une amende de 1,5 million d’euros a ainsi été prononcée « au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société Dedalus Biologie ».
Les manquements sanctionnés
- Un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD).
- Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD).
En parallèle, la CNIL a saisi le tribunal judiciaire de Paris qui a bloqué l’accès au site sur lequel étaient publiées les données ayant fuité. Cette décision du 4 mars 2021 a permis de limiter les conséquences pour les personnes.
Participer à la conversation