RGPD : comment la Cnil a fait du cas Dedalus un exemple

Cnil Dedalus

La Cnil a récemment infligé une lourde amende à Dedalus, fournisseur de logiciels de santé. Dans quel contexte intervient cette décision ?

À fuite de données sans précédent, sanction sans précédent ? Après plus d’un an de procédure, la Cnil a récemment infligé une amende de 1,5 M€ à Dedalus Biologie.

Pendant plus de quinze ans, on a connu cette entreprise sous le nom de Netika. Jusqu’à son passage, en 2017, sous pavillon italien… dans le giron du groupe Dedalus. Ses logiciels de gestion sont aujourd’hui utilisés par des milliers de laboratoires, y compris d’établissements publics.

Qu’est-ce qui lui a valu une telle sanction ? Un épisode que la Cnil estime inédit. En l’occurrence, la publication d’informations médico-administratives de près d’un demi-million de personnes. Un incident découvert début 2021. Les deux laboratoires concernés étaient clients de Dedalus Biologie.

Un serveur (très) mal sécurisé

La Cnil a notamment conclu à des négligences des règles élémentaires de sécurité. Sur ce point, elle en réfère à l’article 32 du RGPD. Qui impose la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la protection des données personnelles. L’autorité a constaté, en particulier, les éléments suivants :

– Fichiers transmis en clair lors d’opérations de migration de données, et absence de suppression automatique une fois la procédure finalisée
– Absence de chiffrement sur le serveur FTP d’où les données semblent avoir filtré
– Sur ce même serveur, pas d’authentification pour accéder à la zone publique ; et, sur la zone privée, partage de comptes utilisateurs entre plusieurs salariés
– Pas de procédure de supervision et de remontée d’alertes de sécurité

La diffusion des données est datée du 23 février 2021. Il y avait eu des alertes par avant, souligne la Cnil. En mars 2020, un salarié avait fait remonter des problèmes de sécurité. Y compris au Gouvernement, ce qui lui avait valu un licenciement pour faute grave.
En novembre de la même année, une autre alerte était remontée. Origine : l’ANSSI, qui avait observé que des données de patients d’un laboratoire client de Dedalus étaient en vente sur le darknet. En réponse, l’entreprise avait supprimé l’accès « anonyme » sur la partie publique du serveur FTP. Elle n’a cependant pas, explique la Cnil, effectué de diligences suffisantes pour identifier si le souci pouvait être plus important.

Mentions inutiles ?

Autre fragment du RGPD auquel Dedalus a contrevenu : l’article 28. Celui-ci lui impose, en qualité de sous-traitant, d’encadrer, par un acte juridique formalisé, les traitements effectués pour le compte des responsables de traitement (ici, ses clients). Cet acte juridique – typiquement, un contrat – prévoit notamment que :

– Le sous-traitant ne traite de données personnelles que sur instruction documentée du responsable, à moins d’y être obligé par le droit de l’UE ou d’un État membre

– Il s’assure que les personnes autorisées à traiter ces données s’engagent à respecter la confidentialité ou sont soumises à une obligation légale en la matière

La Cnil estime que les actes juridiques qu’on lui a présentés ne comportent pas les mentions requises. Que ce soient les CG de vente proposées au moment où les laboratoires acceptent la prestation ou les contrats de maintenance. Et quand il y avait des mentions, elles en référaient à une version obsolète de la loi informatique et libertés.

À ce sujet, le cabinet HAAS Avocats déclare :

Cette décision marque un tournant dans la jurisprudence de la CNIL. La Commission reconnait la responsabilité du sous-traitant pour manquement à l’article 28 du RGPD pour n’avoir pas intégré, par défaut, les mentions obligatoires au sein de ses contrats standards [sic].

Des migrations (vraiment) sous contrôle ?

La troisième infraction relevée porte sur l’article 29 du RGPD. Dans les grandes lignes, il interdit au sous-traitant de traiter les données auxquelles il a accès, sauf sur instruction du responsable (ou en cas d’obligation légale).

Dans le cas de Dedalus, le problème se pose au niveau de migrations logicielles… qui ont englobé trop de données. Un laboratoire, en particulier, avait demandé, sur injonction de l’éditeur, à basculer d’un logiciel Dedalus (Megabus) à un plus récent (Kalisil) pour les patients ayant procédé à une analyse médicale après le 7 mai 2017. À l’arrivée, les données extraites comportaient des milliers de lignes relatives à des patients dont la dernière visite était antérieure à cette date.

Un autre laboratoire avait quant à lui demandé de l’assistance pour migrer vers un logiciel tiers. Dedalus lui a fourni des champs à extraire… mais le résultat a englobé des colonnes qui n’auraient pas du l’être. Et elles contenaient des données sensibles.

Dedalus a invoqué, pour sa défense, deux arguments. La Cnil les a rejetés. Le premier était d’ordre technique : l’outil d’extraction ne permettait qu’une extraction totale. D’après la Cnil, il était possible de se tourner vers des solutions alternatives. Le deuxième consistait à affirmer que les extractions étaient soumises à la validation des laboratoires. Les documents que Dedalus a produits n’en témoignent pas, a estimé la Cnil.

L’amende dont Dedalus Biologie a écopé équivaut à peu près à son bénéfice 2020 (1,437 M€).

Photo d’illustration © REDPIXEL – Adobe Stock