Le gendarme des données numériques a frappé fort. Le 15 avril 2022, la Commission nationale de l’informatique et des libertés (Cnil) a sanctionné la société Dedalus Biologie pour une fuite de données médicales concernant près de 500 000 personnes.
L’entreprise, leader dans le secteur du logiciel destiné aux établissements de santé, a été condamné à verser la somme de 1,5 million d’euros. Comme l’indique la Cnil, « le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société Dedalus Biologie ».
De nombreux manquements graves de Dedalus
Pour la Cnil, l’enquête a débuté suite à la publication d’une base de données médicales sensibles sur un forum de discussion en février 2021. Un internaute y avait publié en libre accès des informations contenant le nom, prénom, adresse postale, numéro de téléphone mais aussi groupe sanguin, numéro de Sécurité sociale concernant près de 500 000 personnes. Comme l’indique la Cnil, la base contenait des informations ultrasensibles liées « au VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient ».
Malgré la haute sensibilité des données concernées, Dedalus Biologie et sa filiale Netika installée à Strasbourg, ont fait preuve de plusieurs manquements sanctionnés par la Cnil. L’autorité donne plusieurs exemples dans le cadre de la migration d’un logiciel vers un autre outil. La multinationale a manqué de procédure spécifique pour les opérations de migration de données. Elle a ainsi laissé des données sur un serveur après leur migration sur une autre plateforme. Dedalus Biologie a aussi oublié de crypter des données personnelles stockées sur un serveur problématique. La Cnil reproche aussi au leader européen du logiciel de santé d’avoir mis en place une sécurité insuffisante pour l’accès à la zone privée du serveur : Dedalus utilisait des « comptes utilisateurs partagés entre plusieurs salariés » pour accéder à cette zone sensible.
« Un ancien salarié de Dedalus avait bel et bien effectué des signalements pertinents »
Le leader du logiciel de santé ne disposait d’aucune procédure de supervision et de remontée d’alertes de sécurité sur le serveur. Cet énième faute de Dedalus Biologie pointée du doigt par la Cnil avait déjà été décrite sur Rue89 Strasbourg, qui donnait la parole à Arnaud (le prénom a été modifié), développeur strasbourgeois et ex-salarié de Dedalus licencié pour avoir alerté sur ces manquements.
Comme l’a révélé le média spécialisé NextInpact, le jeune féru de cybersécurité détecte en deux ans plus d’une centaine de failles de sécurité dans les logiciels vendus à des laboratoires et autres établissements de santé : « J’étais déçu de réaliser qu’un simple développeur, autodidacte comme moi, pouvait trouver autant d’énormes failles dans les systèmes informatiques de Dedalus… »
Le Strasbourgeois est par ailleurs évoqué dans la délibération de la formation restreinte de la Cnil :
« Le rapporteur relève que, dès mars 2020, un ancien salarié de la société Dedalus Biologie avait fait remonter à son employeur des problèmes de sécurité. Selon le rapporteur, il est établi que celui-ci avait bel et bien effectué des signalements pertinents, ce qui ressort d’échanges internes… »
Dedalus aussi sanctionné pour des heures supplémentaires non-payées
Compte-tenu de la « gravité des manquements commis », la Cnil a estimé que la publication de cette sanction était justifiée. Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter du 15 avril 2022.
Selon nos informations, suite à la publication du témoignage du lanceur d’alerte sur Rue89 Strasbourg, Dedalus a suscité l’intérêt de l’inspection du travail. La régularisation exigée par cette dernière s’élève à 150 000 euros de rappels de salaries pour des heures supplémentaires non-payées sur les années 2018, 2019 et 2020.
Chargement des commentaires…