Dedalus sanctionné par la Cnil pour la fuite de données de santé ayant affecté 500 000 Français

• Print
• Twitter
• Linkedin

Le gendarme français des données personnelles inflige une amende de 1,5 million d’euros à Dedalus Biologie, un éditeur spécialisé dans l’informatique hospitalière.

L’autorité nationale en matière de sécurité et de défense des systèmes d’information (l’Anssi) avait déjà signalé une première fuite de données à l’éditeur à la fin 2020, avant celle, en février 2021, d’un fichier contenant les données médicales de 500.000 citoyen·ne·s français·e·s : nom, prénoms, âge, adresses postale et mail, numéro de téléphone et informations sur les conjoints, numéro de sécurité sociale, rang CPAM, groupe sanguin, état de santé… sans compter des informations administratives sur le personnel soignant rattaché à ces personnes.

Le rapport de la Commission nationale de l’informatique et des libertés pointe l’absence de mesures de sécurité suffisantes, notamment sur le serveur FTP utilisé par Dedalus pour migrer les données de ses client·e·s. Ce serveur a en effet été accessible en ligne sans authentification jusqu’en novembre 2020.

La Cnil est aussi d’avis que « l’utilisation de comptes partagés fait peser un risque disproportionné, pourtant facilement évitable, sur la sécurité du traitement et augmente considérablement les risques de compromission ». En effet, après le signalement de l’Anssi à la fin 2020, une authentification a été mise en place mais la zone privée du serveur est restée accessible avec des codes d’accès partagés entre plusieurs salarié·e·s de Dedalus.

De plus, « aucune procédure de supervision et de remontée d’alertes de sécurité n’était mise en œuvre sur le serveur FTP. Les connexions provenant d’adresses IP suspectes n’étaient donc ni détectées ni traitées ».

A cela s’ajoutent l’absence de chiffrement et l’absence d’effacement automatique des données après leur migration.

La Cnil relève également que l’éditeur de logiciels pour les établissements de santé a « extrait un volume de données plus important que celui requis » dans le cadre d’une migration logicielle demandée par deux laboratoires clients.

Enfin, elle affirme que les conditions générales de vente et les contrats de maintenance de Dedalus n’étaient pas conformes au RGPD, le règlement européen pour la protection des données personnelles.