La société DEDALUS BIOLOGIE (faisant partie du groupe DEDALUS) commercialise des solutions logicielles à destination de laboratoires d’analyses médicales. La société DEDALUS BIOLOGIE assure également des prestations d’installation, de démarrage et d’accompagnement des clients à l’utilisation du logiciel.
A ce titre, dans le cadre du service qu’elle propose aux laboratoires, la société DEDALUS BIOLOGIE met notamment à disposition des laboratoires des outils informatiques et propose des prestations de maintenance de logiciel outre des prestation de migration de données de logiciels tiers vers les logiciels maintenus par ses soins.
La société DEDADUS BIOLOGIE agit alors en qualité de sous-traitant au sens du RGPD (ci-après « le Sous-Traitant ») et les laboratoires en qualité de responsables de traitement.
En l’espèce, le 23 février 2021, un leak de données provenant de laboratoires d’analyses médicales (c’est-à-dire un ensemble de données rendues publiques à la suite d’une cyber-attaque) concernant 500 000 patients a été révélé. Des milliers de données sensibles (données de santé) ont été diffusées sur internet et notamment, les nom, prénom, numéro de sécurité sociale, pathologies des patients, données génétiques, ou encore les traitements médicamenteux suivis par les patients.
Dès le lendemain et jusqu’au 10 mars 2022 la CNIL a entrepris des contrôles en ligne, sur place et sur pièces chez le Sous-Traitant et de manière générale au sein du groupe DEDALUS.
A l’issue des contrôles, la formation restreinte de la CNIL a considéré que le Sous-Traitant avait manqué à plusieurs obligations prévues par le RGPD et notamment celle tenant à la sécurité des données personnelles.
- Manquement à l’article 28 § 3 du RGPD
Aux termes de cet article, le traitement par un Sous-Traitant doit être régi par un contrat qui lie le sous-traitant à l’égard du responsable du traitement en précisant les mentions prévues par l’article 28-3 du RGPD et notamment le fait que le Sous-Traitant :
- « a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement ;
- b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- c) prend toutes les mesures requises en vertu de l’article 32 [sécurité du traitement] ;
- d) respecte les conditions (…) pour recruter un autre sous-traitant ;
- e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées ;
- f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant… »
En l’espèce, le rapporteur de la CNIL considère qu’au sein des différents contrats liant le responsable du traitement (les laboratoires) et le Sous-Traitant (conditions générales de vente et contrats de maintenance) les mentions requises par l’article 28 du RGPD ne sont pas présentes.
La formation restreinte considère ainsi que ces faits constituent un manquement à l’article 28-3 du RGPD.
- Manquement à l’article 29 du RGPD
Aux termes de cet article, le Sous-Traitant doit traiter les données sur instructions du responsable de traitement uniquement.
Dans le cas d’espèce et précisément dans le cadre de la migration opérée par la société DEDALUS BIOLOGIE d’un logiciel tiers vers une des solutions logicielles proposées et maintenues par ses soins , la société DEDALUS BIOLOGIE, en sa qualité de Sous-Traitant a extrait un volume de données plus important que celui requis par le responsable du traitement, allant ainsi au-delà des instructions données par le responsable du traitement et constituant ainsi un manquement à l’article 29 du RGPD.
- Manquement à l’article 32 du RGPD
Aux termes de cet article, le responsable du traitement et le Sous-Traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
En l’espèce, le Sous-Traitant a commis de nombreux manquements : dans le cadre des opérations de migration du logiciel tiers, ce dernier n’a notamment pas chiffré les données personnelles, ni mis en œuvre un effacement automatique, de procédure spécifique de migration, de procédure de supervision et de remontées d’alerte de sécurité…
Cette absence de mesures de sécurité est l’une des causes de la violation des données qui a compromis les données de santé de près de 500 000 patients.
La formation restreinte de la CNIL a prononcé une amende de 1,5 million d’euros en prenant en compte la gravité des manquements retenus et le chiffre d’affaires réalisé par le Sous-Traitant. Cette décision a également fait l’objet d’une publicité.
Que retenir ?
- L’importance de bien respecter les mentions obligatoires de l’article 28 du RGPD lorsque vous rédigez un document contractuel avec votre responsable du traitement ou votre sous-traitant ;
- En tant que sous-traitant il est impératif de n’agir que sur instruction documentée du responsable du traitement et de respecter le cadre contractuellement convenu ;
- Il est nécessaire de prévoir des mesures de sécurité techniques et organisationnelles adaptées au niveau de risque du traitement des données, particulièrement lorsqu’il s’agit de données de santé.