Enquêtes et informations locales
Enquêtes et informations locales
Grâce à un lanceur d’alerte strasbourgeois, Dedalus sanctionnée par une amende record pour une fuite de données de santé
L'actu 

Grâce à un lanceur d’alerte strasbourgeois, Dedalus sanctionnée par une amende record pour une fuite de données de santé

par Guillaume Krempp.
Publié le 21 avril 2022.
Imprimé le 24 mai 2022 à 17:23
1 993 visites. 4 commentaires.

Le 15 avril, la Cnil a infligé une amende d’1,5 million d’euros à la société Dedalus Biologie. Cette sanction fait suite à une enquête portant sur une fuite de données médicales de près de 500 000 personnes. Un lanceur d’alerte strasbourgeois avait aussi pointé les défaillances dans la sécurité informatique de la multinationale. En vain.

Le gendarme des données numériques a frappé fort. Le 15 avril 2022, la Commission nationale de l’informatique et des libertés (Cnil) a sanctionné la société Dedalus Biologie pour une fuite de données médicales concernant près de 500 000 personnes.

L’entreprise, leader dans le secteur du logiciel destiné aux établissements de santé, a été condamné à verser la somme de 1,5 million d’euros. Comme l’indique la Cnil, « le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société Dedalus Biologie ».

Ancien salarié de Dedalus et de sa filiale Netika, un développeur strasbourgeois a lancé l’alerte qui a abouti à une amende d’1,5 million d’euros contre l’autoproclamé « « leader européen et acteur mondial clé dans le domaine des systèmes d’information de santé clinique et administratif ». (Photo Guillaume Krempp / Rue89 Strasbourg / cc)

De nombreux manquements graves de Dedalus

Pour la Cnil, l’enquête a débuté suite à la publication d’une base de données médicales sensibles sur un forum de discussion en février 2021. Un internaute y avait publié en libre accès des informations contenant le nom, prénom, adresse postale, numéro de téléphone mais aussi groupe sanguin, numéro de Sécurité sociale concernant près de 500 000 personnes. Comme l’indique la Cnil, la base contenait des informations ultrasensibles liées « au VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient ».

Malgré la haute sensibilité des données concernées, Dedalus Biologie et sa filiale Netika installée à Strasbourg, ont fait preuve de plusieurs manquements sanctionnés par la Cnil. L’autorité donne plusieurs exemples dans le cadre de la migration d’un logiciel vers un autre outil. La multinationale a manqué de procédure spécifique pour les opérations de migration de données. Elle a ainsi laissé des données sur un serveur après leur migration sur une autre plateforme. Dedalus Biologie a aussi oublié de crypter des données personnelles stockées sur un serveur problématique. La Cnil reproche aussi au leader européen du logiciel de santé d’avoir mis en place une sécurité insuffisante pour l’accès à la zone privée du serveur : Dedalus utilisait des « comptes utilisateurs partagés entre plusieurs salariés » pour accéder à cette zone sensible.

« Un ancien salarié de Dedalus avait bel et bien effectué des signalements pertinents »

Le leader du logiciel de santé ne disposait d’aucune procédure de supervision et de remontée d’alertes de sécurité sur le serveur. Cet énième faute de Dedalus Biologie pointée du doigt par la Cnil avait déjà été décrite sur Rue89 Strasbourg, qui donnait la parole à Arnaud (le prénom a été modifié), développeur strasbourgeois et ex-salarié de Dedalus licencié pour avoir alerté sur ces manquements.

Comme l’a révélé le média spécialisé NextInpact, le jeune féru de cybersécurité détecte en deux ans plus d’une centaine de failles de sécurité dans les logiciels vendus à des laboratoires et autres établissements de santé : « J’étais déçu de réaliser qu’un simple développeur, autodidacte comme moi, pouvait trouver autant d’énormes failles dans les systèmes informatiques de Dedalus… »

Le Strasbourgeois est par ailleurs évoqué dans la délibération de la formation restreinte de la Cnil :

« Le rapporteur relève que, dès mars 2020, un ancien salarié de la société Dedalus Biologie avait fait remonter à son employeur des problèmes de sécurité. Selon le rapporteur, il est établi que celui-ci avait bel et bien effectué des signalements pertinents, ce qui ressort d’échanges internes… »

Dedalus aussi sanctionné pour des heures supplémentaires non-payées

Compte-tenu de la « gravité des manquements commis », la Cnil a estimé que la publication de cette sanction était justifiée. Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter du 15 avril 2022.

Selon nos informations, suite à la publication du témoignage du lanceur d’alerte sur Rue89 Strasbourg, Dedalus a suscité l’intérêt de l’inspection du travail. La régularisation exigée par cette dernière s’élève à 150 000 euros de rappels de salaries pour des heures supplémentaires non-payées sur les années 2018, 2019 et 2020.

Article actualisé le 22/04/2022 à 11h49
L'AUTEUR
Guillaume Krempp
Guillaume Krempp
Journaliste, en recherche d'enquêtes et d'impacts

En BREF

Le salon Bio&Co va projeter un documentaire anti-vaccins réalisé par un complotiste

par Achraf El Barhrassi. 5 675 visites. 22 commentaires.

Le port autonome lance une procédure d’urgence pour faire expulser le squat quai Jacoutot

par Thibault Vetter. 810 visites. 3 commentaires.

Électricité de Strasbourg protègera finalement ses clients contre la hausse des prix du gaz

par Laurence George. 1 229 visites. 2 commentaires.
×