Une fuite massive de données médicales a été provoquée par une faille de sécurité dans le logiciel Mega-Bus, provoquant la violation de données personnelles de près de 500.000 personnes. La Cnil a prononcé le 15 avril 2022 une amende de 1,5 millions d’euros à l’encontre de l’éditeur du logiciel.
Le contexte de la sanction par la Cnil
La Cnil a prononcé le 15 avril 2022 une large sanction à hauteur de 1.5 millions d’euros à l’encontre du sous-traitant DELADUS BIOLOGIE suite à la fuite de données médicales de près de 500 000 patients, données retrouvées en libre accès sur internet par la presse en début d’année 2021. Parmi ces données, les noms, prénoms, numéros de sécurité sociales des patients, les noms de leurs médecins prescripteurs, dates d’examens ainsi qu’informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patients, données génétiques…).
Ces données proviennent de 28 laboratoires médicaux différents, ayant en commun d’utilisation du logiciel Mega-Bus, commercialisé par DELADUS BIOLOGIE. Dès février 2021, la Cnil a initié des contrôles auprès de DELADUS BIOLOGIE. Elle a en parallèle saisi le tribunal judiciaire, bloquant l’accès au site internet où les données étaient publiées.
Ainsi, la formation restreinte a prononcé une sanction de 1.5 millions d’euros à l’encontre de DELADUS BIOLOGIE. Ce montant se justifie par la gravité des manquements retenus, notamment l’obligation de sécurité imposée par le RGPD.
Les manquements sanctionnés par la Cnil
La Cnil accuse DELADUS BIOLOGIE de plusieurs manquements aux obligations imposées par le RGPD. En particulier, elle relève des manquements aux obligations énoncées aux articles 28, 29 et 32 du Règlement européen.
L’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement – Article 28 RGPD
En effet, l’article 28.3 du RGPD impose une obligation de formaliser par un contrat les opérations de traitements effectuées. Ce contrat doit spécifier l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.
En l’espèce, les contrats fournis par DELADUS BIOLOGIE ne contenaient pas ces mentions obligatoires.
L’obligation de respecter les instructions du responsable de traitement – Article 29 RGPD
En vertu du RGPD, le sous-traitant se doit d’agir sous l’autorité du responsable de traitement. Néanmoins, il ressort des rapports que la société DELADUS BIOLOGIE a traité un volume de données plus conséquent que prévu par contrat. Ainsi, cet excès constitue un manquement à l’obligation de l’article 29 RGPD.
L’obligation d’assurer la sécurité des données – Article 32 RGPD
Finalement, l’article 32 du Règlement européen impose une obligation d’assurer la sécurité des données traitées. Ici, de nombreux manquements techniques et organisationnels sont reprochés à DELADUS BIOLOGIE dans le cadre du transfert des données d’un logiciel à l’autre. Notamment, l’absence de procédure spécifique pour les opérations de migration des données. Ou encore, l’absence de procédure de supervision ou remontées d’alertes de sécurité sur le serveur.
Ces nombreux manquements ont eu pour conséquence de compromettre les données médico-administratives de plus de 500 000 personnes. A ce titre, en conséquence de cette fuite de données médicales, la Cnil prononce la sanction de 1.5 millions d’euros le sous-traitant DELADUS BIOLOGIE pour ses manquements aux obligations imposées par le RGPD.
Deshoulières Avocats vous conseille en propriété intellectuelle et nouvelles technologies.
Source :
