Sanction d’un sous-traitant pour sa mauvaise gestion de données de santé

– Les méandres des pratiques de la société DEDALUS BIOLOGIE –

 Par sa décision symbolique du 15 avril 2022, la CNIL [1] a mis un stop aux manquements de la société DEDALUS BIOLOGIE en matière de protection des données.

Le dictionnaire “Le ROBERT” définit un dédale comme « le lieu où l’on risque de s’égarer à cause de la complication des détours. Ensemble de choses embrouillée ».

Force est de constater que DEDALUS BIOLOGIE porte bien son nom. Après avoir emprunté des chemins tortueux pour commercialiser ses solutions logicielles à destination des laboratoires d’analyses médicales, cette entreprise s’est finalement vue barrer net sa route par l’autorité de contrôle française.

AU DÉPART…  Retour sur le contexte de l’affaire

Le 23 février 2021, le journal LIBÉRATION dénonçait la présence sur un forum du “darknet”[2] d’un fichier contenant les informations personnelles de près de 500.000 individus.

Au-delà d’éléments d’ordre administratif, des données particulièrement sensibles concernant les victimes de cette publication ont été révélées au grand jour, et notamment des données relatives à leur santé. En l’occurrence, les renseignements suivants y figuraient :

• L’identité et les coordonnées des médecins ayant prescrit les examens biologiques réalisés ;
• L’identité et les coordonnées des préleveurs ;
• L’état civil des patients, mais aussi leur numéro de sécurité sociale, les données relatives à leur mutuelle (dont leurs identifiants pour se connecter à leurs comptes individuels) ainsi que des commentaires libres concernant leurs pathologies ou leur suivi médical (diagnostics de VIH, cancers, maladies génétiques ; état de grossesse ; traitements médicamenteux en cours, etc.).

Afin de limiter au maximum les conséquences de cette divulgation pour les personnes concernées, la Présidente de la CNIL a été contrainte d’agir en justice en urgence. Le 4 mars 2021, le juge des référés du Tribunal Judiciaire de Paris a ainsi enjoint à différents fournisseurs d’accès à Internet de bloquer par tous moyens l’accès à ce fichier en ligne.

Les investigations menées par la Commission ont permis retrouver la trace du partenaire commercial des deux laboratoires d’où provenaient ces informations sensibles, à savoir la société DEDALUS BIOLOGIE.

Les malheureux raccourcis empruntés par la société DEDALUS BIOLOGIE pour assurer sa conformité

La CNIL avait déjà, par le passé, condamné conjointement un responsable de traitement et son sous-traitant[3].

La décision de la Commission du 15 avril 2022 est tout à fait singulière puisqu’ici seul le sous-traitant a été poursuivi[1]. Les laboratoires, à qui DEDALUS BIOLOGIE ne faisait que mettre à disposition un outil d’aide à la mise en œuvre de leurs traitements de données et en assurer la maintenance, n’ont fait l’objet d’aucune sanction.

Si l’autorité de contrôle n’indique pas expressément les raisons de cette exemption de responsabilité, il semblerait que cette mesure de faveur découle – comme il le sera expliqué par la suite :

• D’une part, du fait que la société DEDALUS BIOLOGIE transmettait elle-même à ses clients ses propres conditions générales de vente, faisant office d’encadrement contractuel au titre du Règlement Général sur la Protection des Données (RGPD) ;
• D’autre part, du fait que DEDALUS BIOLOGIE a excédé les instructions données par le responsable de traitement lors de la manipulation des données qui lui avaient été confiées.

La publicité attachée à la décision de la CNIL poursuit vraisemblablement un double objectif. Au-delà de sa portée individuelle, en ce qu’elle ajoute une sanction réputationnelle à la sanction pécuniaire prise contre DEDALUS BIOLOGIE, elle lance un avertissement à l’ensemble des sous-traitants.

La Commission affiche ainsi sans détours que ces derniers sont, eux aussi, susceptibles de voir leur responsabilité engagée, ce indépendamment de celle du responsable de traitement.

La Commission n’y est pas allée par quatre chemins pour justifier le montant particulièrement élevé de l’amende d’1,5 million d’euros prononcée contre DEDALUS BIOLOGIE. Selon elle, cette somme est tout à fait proportionnée au regard du chiffre d’affaires annuel conséquent de la société, estimé à 16,3 millions d’euros en 2020.

La souhaitant volontairement dissuasive, l’autorité régulatrice estime que la sévérité de cette condamnation est justifiée compte tenu de la gravité des manquements imputables à l’entreprise, du nombre de victimes et des conséquences préjudiciables de la violation de données subie par ces dernières.

1^er égarement reproché à DEDALUS BOLOGIE : l’encadrement insuffisant de ses relations de sous-traitance

• L’imprécision des documents formalisant la relation de sous-traitance

Le RGPD ne se contente pas d’imposer que les relations entre le responsable de traitement et chacun de ses sous-traitants soient formalisées par un acte juridique contraignant. Le contenu de ces écrits est également précisément défini par la législation européenne en termes de protection des données.

En l’espèce, la société DEDALUS BIOLOGIE et les laboratoires justifiaient bien avoir signé entre eux divers documents destinés à régir les modalités de leurs partenariats.

Pour autant, ni les conditions générales de vente proposées par DEDALUS BIOLOGIE, ni ses contrats de maintenance ne comportaient les mentions devant obligatoirement y figurer en application de l’article 28 du RGPD (telles que la description générique des traitements de données concernés par l’activité de sous-traitance, les droits et obligations respectifs des parties : devoir de confidentialité, d’assurer la sécurité des données, devoir de coopération, hypothèses de sous-traitance en cascade, etc.).

Pire, ces écrits faisaient référence à des dispositions obsolètes de la loi « Informatique et Libertés ».

DEDALUS BIOLOGIE a fait valoir qu’elle était en bonne voie de régulariser la situation, et avait rédigé de nouveaux modèles de contrats conformes. La CNIL considère toutefois ces efforts incomplets tant que l’intégralité des clients actuels de la société ne se sont pas vus remettre ces actes actualisés, quitte à devoir les renégocier…

• Le dépassement des instructions données par le responsable de traitement

L’article 29 du RGPD n’autorise le sous-traitant à traiter les données du responsable de traitement que sur instructions de celui-ci et conformément à ses instructions.

En l’occurrence, les laboratoires avaient demandé à la société DEDALUS BIOLOGIE de faire migrer une liste précise des données de leurs patients de l’ancienne version de leur logiciel vers une plus récente. Or, leur prestataire a excédé ces consignes, tant en ce qui concerne le volume que les catégories de données extraites.

DEDALUS BIOLOGIE a indiqué que la solution qu’elle utilise pour réaliser ces transferts ne lui permettait pas de filtrer les informations à migrer, de sorte qu’elle était contrainte d’exporter la totalité de la base de données des centres d’analyses médicales.

La CNIL écarte cet argument. Elle affirme que DEDALUS BIOLOGIE ne peut pas invoquer le fait d’avoir usé d’un outil ne tenant pas la route pour se justifier d’avoir outrepassé les instructions du responsable de traitement.

2^ème égarement reproché à DEDALUS BOLOGIE : les divers manquements à son obligation d’assurer la sécurité des données

L’autorité de contrôle relève que la société DEDALUS BIOLOGIE a sérieusement manqué à son obligation de prendre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données qui lui avaient été confiées, tel que le prévoit l’article 32 du RGPD.

Elle souligne que le sous-traitant a fait fausse route à de nombreux égards, notamment en raison de :

• « L’absence de procédure spécifique pour les opérations de migration de données » ;

La CNIL insiste sur le fait que ces protocoles ne sont pas uniquement symboliques, et destinés à afficher le prétendu intérêt porté par l’organisme à sa conformité. Ils constituent une aide concrète, et permette que la réalisation d’une telle opération de migration s’effectue dans le respect de la législation en vigueur en matière de protection des données, en décrivant les étapes à suivre pour réaliser cette tâche ainsi que les rôles et responsabilités associées des différents intervenants.

• « L’absence de chiffrement des données personnelles stockées » et « l’absence d’effacement automatique des données après migration vers l’autre logiciel » ;

Les informations extraites étaient ainsi transférées « en clair », c’est-à-dire lisibles directement par tous – aggravant d’autant les dommages susceptibles d’affecter les personnes concernées en cas de violation de données.

• L’accès libre depuis Internet, sans authentification, à certaines données hébergées aux fins de migration dans la zone publique du serveur de DEDALUS BIOLOGIE et « l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur » ;

Dans ces conditions, les risques d’intrusion dans les fichiers traités par la société DEDALUS BIOLOGIE et de compromission des informations manipulées étaient donc particulièrement à craindre.

• « L’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur ».

Les connexions suspectes à la base de données du sous-traitant n’étaient, de ce fait, pas détectées.

Mais surtout, la Commission érige en circonstance aggravante le fait que ces failles de sécurité ont perduré malgré les avertissements adressés à la société DEDALUS BIOLOGIE en ce sens.

Dès le mois de mars 2020, un salarié de l’entreprise avisait ainsi ses supérieurs sur les nombreuses vulnérabilités qu’il avait identifiées dans les systèmes informatiques déployés par l’organisme.

Face à l’absence de réaction de ses chefs, ce lanceur d’alerte aurait d’ailleurs prévenu les autorités avant de se faire curieusement licencier pour « fautes graves »[5].

Puis, en novembre 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI[6]) signalait à son tour à la société la mise en vente de données anonymisées de certains patients des laboratoires sur le “darknet”.

DEDALUS BIOLOGIE n’a cependant donné aucune suite à ces alertes. Cette indifférence a conduit la société tout droit dans l’impasse dans laquelle se trouve aujourd’hui.

À L’ARRIVÉE : l’importance de se faire accompagner dans sa conformité pour ne pas se tromper d’orientation

DEDALUS BIOLOGIE a été affectée par cette affaire à plus d’un titre. La sanction prononcée par la CNIL s’ajoute en effet à la cyberattaque dont elle a été victime, et à l’origine de la publication de ses bases de données.

L’auteur de ce piratage n’a d’ailleurs pas encore été identifié à ce jour.

Or, ces deux événements désastreux auraient pu être évités si la société avait mis en œuvre les mesures internes qui s’imposaient pour préserver ces données.

Ne vous perdez pas en chemin dans l’application quotidienne des impératifs issus du RGPD au sein de votre structure, comme a pu le faire DEDALUS BIOLOGIE.

L’essor économique et commercial d’une entreprise implique aujourd’hui nécessairement de prendre en compte les exigences nouvelles des citoyens en matière de protection de leurs données personnelles.

Si vous ne souhaitez pas trouver d’embuches sur votre route, il est important de vous faire guider par des professionnels capables d’adapter vos démarches de conformité à la stratégie de développement de votre entité.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Selon le dictionnaire “LAROUSSE”, le darknet est un « ensemble de réseaux permettant de partager de manière anonyme des données cryptées inaccessibles aux moteurs de recherche traditionnels », soit une forme d’Internet clandestin. En ce sens, il est lieu d’un grand nombre d’activités illégales (pédophilie, trafic d’armes, terrorisme, etc.).

[3] Pour plus d’informations concernant la condamnation récente d’un sous-traitant, faute pour lui d’avoir recherché les mesures adéquates pour assurer la sécurité des données personnelles et d’avoir proposé ces solutions au responsable de traitement, nous vous invitons à consulter l’article suivant : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant

[4] La délibération de la CNIL est disponible dans son intégralité à l’adresse suivante :

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368?init=true&page=1&query=san-2022-009&searchField=ALL&tab_selection=all

^[5] Selon les journalistes du site de presse en ligne “Next INpact” dans un article dédié, publié à l’adresse suivante : https://www.nextinpact.com/article/43405/un-leader-europeen-donnees-sante-licencie-lanceur-dalerte-pour-faute-grave

[6] L’ANSSI est l’autorité nationale chargée « d’accompagner et de sécuriser le développement du numérique ». Elle s’inscrit à cet égard comme acteur majeur dans le domaine de la cybersécurité, et assure notamment un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

« Affaire Benalla », volet RGPD : profilage politique et énième polémique

Le 18 juillet 2018, le journal « Le Monde » révélait l’identité de l’homme casqué filmé en train de frapper avec violence un manifestant lors des traditionnels cortèges du 1er mai : Alexandre Benalla, adjoint au chef du cabinet du Président de la République.

La réaction des citoyens et internautes face à la sanction clémente prononcée à son encontre (15 petits jours de mise à pied) fut sans précédents. Le début d’un quasi scandale d’État.

L’affaire connaît un nouveau rebondissement avec la condamnation d’une association belge ayant enquêté sur les retentissements médiatiques de ces événements.

QUI ? L’autorité de contrôle belge (l’APD[1]), en collaboration avec son homologue française (la CNIL[2]), a sanctionné le 27 janvier 2022 le collectif EU DisinfoLab et l’un de ses chercheurs.

Selon ses statuts, l’association a notamment pour objet de lutter contre le phénomène des ‘fake news’ dans les médias. Or, en voulant combattre la désinformation, EU DisinfoLab et son bénévole ont eux-mêmes traité illégalement de nombreuses informations…

QUOI ? – EU DisinfoLab tentait de comprendre les raisons de l’hyperactivité générée par l’affaire Benalla sur les réseaux sociaux, en particulier sur l’application Twitter.  Elle s’interrogeait entre autre sur l’orientation politique des auteurs de ces « tweets ».

Or, avant même que ses résultats ne soient publiés, l’intégrité scientifique de l’étude était contestée. Il lui était reproché de chercher à démontrer à tout prix l’existence d’un complot russe dans cette surexposition médiatique.

Afin de démontrer la fiabilité de sa méthodologie, l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !

l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !  Les renseignements personnels de plus de 55.000 utilisateurs de Twitter et de près de 3.300 comptes ont ainsi été diffusés, catégorisés selon leurs préférences politiques. Le contenu de leurs sections « biographie » était également exposé au grand jour, faisant apparaître d’autres renseignements intimes les concernant : convictions religieuses, orientation sexuelle…

Cet incident est l’occasion de rappeler une évidence : les données personnelles disponibles sur les réseaux sociaux ne perdent la protection conférée par le RGPD sous prétexte qu’elles sont accessibles au public.

COMMENT ? – La liste des manquements imputés à l’association et/ou son chercheur est longue [3] :

[1] « L’Autorité de Protection des Données » est l’autorité indépendante belge compétente en matière de protection des données personnelles.

[2] La « Commission Nationale de l’Informatique et des Libertés » (CNIL) est l’équivalent français de l’APD.

[3] La décision de l’APD du 27 janvier 2022 est disponible dans son intégralité à l’adresse suivante : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-13-2022.pdf

① Illicéité des traitements de données (article 6.4 RGPD)

Pour rappel, lorsqu’un traitement de données à des fins journalistiques n’est pas réalisé à partir de données collectées directement auprès des individus concernés, il constitue un “traitement ultérieur”.

Ces opérations de traitement secondaires doivent alors être compatibles avec la finalité pour laquelle les données personnelles ont été recueillies initialement. A défaut, l’organisme est tenu de justifier la base légale sur laquelle il fonde l’exploitation ultérieure de ces renseignements.

En l’occurrence, l’APD estime que cette exigence de compatibilité de finalités n’est pas satisfaite. Elle souligne notamment l’absence d’attentes légitimes des internautes à une telle réutilisation de leurs données à des fins de profilage politique et de republication sur Internet.

Si les auteurs des “tweets” pouvaient raisonnablement s’attendre à ce que leurs propos soient commentés dans le cadre d’un débat politique, ils ne pouvaient que difficilement imaginer que leurs comptes seraient classés et médiatisés en raison de cette appartenance politique.

Cela est d’autant plus vraie s’agissant de la révélation d’informations sensibles les concernant, sorties du contexte de l’affaire Benalla (convictions religieuses, orientation sexuelle, prétendue proximité avec des médias russes…).

EU DisinfoLab et son bénévole auraient ainsi dû recueillir le consentement des internautes avant de traiter leurs données pour ces nouveaux objectifs d’enquête, et non le faire à leur insu.

② Manquement aux obligations de sécurité (article 32 RGPD)  

L’APD estime qu’EU DisinfoLab n’a pas assuré une sécurité et une confidentialité suffisante des informations personnelles reprises sur Twitter en ne les pseudonymisant pas[4]. Cette mesure aurait pourtant permis d’empêcher toute identification des abonnés concernés lors de la diffusion de leurs données personnelles.

③ Absence de notifications d’une violation de données (article 33 RGPD)

La publication des données « brutes » sur lesquelles le chercheur d’EU DisinfoLab fondait son étude constitue une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes visées. Compte tenu de la sensibilité des informations portées à la connaissance de tous, elle expose ces dernières à un risque de discrimination ou de discrédit dans leur vie privée ou professionnelle.

L’association reconnaît n’avoir notifié cette violation de données ni à l’autorité de contrôle, ni aux internautes touchés, comme elle y était pourtant tenue…

④ Incapacité à fournir la documentation de sa conformité aux autorités de contrôle 

→ Absence de registre de ses activités de traitement (article 30.5 du RGPD)

Malgré sa faible envergure, l’association ne peut pas invoquer la dérogation reconnue aux entités de moins de 250 personnes sur l’obligation de tenir un tel registre.

Les traitements de EU DisinfoLab portant sur des données sensibles, l’association aurait bel et bien dû – exception à l’exception – disposer d’un registre de ses activités de traitement, ce qui n’est pas le cas.

→ Absence des contrats de sous-traitance avec ses prestataires (article 28 RGPD) 

[4] Le RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable ».

EU DisinfoLab n’a conclu aucun accord de partenariat avec ses sous-traitants : ni avec les prestataires lui ayant fourni les logiciels pour extraire de Twitter les informations dont elle avait besoin, ni avec le bénévole à qui elle a confié la réalisation de son étude.

Or, le RGPD impose de formaliser ces relations de sous-traitance par tout écrit ayant une force contraignante.

→ Absence de réalisation d’une analyse d’impact relative à la vie privée (ou « AIPD » – article 35 RGPD) 

Ce alors que la conduite d’une AIPD s’imposait à l’association, cette formalité étant requise en cas de traitement à grande échelle de données sensibles.

MAIS ENCORE ? – Les apports de la décision

Reconnaissance de la responsabilité d’un particulier

En condamnant à titre personnel le chercheur chargé de la réalisation de l’étude, cette décision rappelle que s’il est rare qu’un particulier soit condamné par une autorité de contrôle, cela n’est toutefois pas impossible.

L’autorité régulatrice souligne que la base de données exploitée par l’association a été diffusée par le scientifique de son « initiative personnelle […] en dehors de toute instruction de l’association EU DisinfoLab et en parfaite violation des procédures internes ».

En s’émancipant ainsi des consignes qui lui avaient été transmises, le chercheur ne peut donc plus invoquer agir en qualité de sous-traitant, mais engage sa responsabilité comme responsable conjoint de traitement.

Précisions sur « l’exception journalistique »

La loi exige l’information préalable des personnes concernées que leurs données personnelles font l’objet d’un traitement, ce même lorsque la collecte de ces renseignements intervient indirectement (article 14 RGPD).

L’APD précise ici que « l’exception journalistique » permettait toutefois à EU DisinfoLab de ne pas procéder à cet avis préalable des internautes, dès lors que cette information aurait pu compromettre la réalisation de son étude.

Même sans mener une activité de journalisme à titre professionnel, l’APD considère que l’enquête de l’association s’inscrit dans un débat d’intérêt général. Elle ne pouvait ainsi pas être forcée de dévoiler l’entièreté de ses sources, ni de prévenir individuellement les abonnés de Twitter de son projet d’étude.

* * *

L’association et le chercheur ont finalement été condamnés à un rappel à l’ordre et à une amende respective de 2.700 et 1.200 euros.

Ne vous y trompez pas : la faiblesse des sanctions prononcées est tout à fait exceptionnelle. Cette tolérance se justifie non seulement par le fait que les responsables de traitement sont une association à but non lucratif peu connue ainsi qu’une personne physique, mais aussi et surtout par la proximité de la date des faits avec l’entrée en vigueur du RGPD.

Les autorités de contrôle se sont depuis pleinement emparées de leurs pouvoirs répressifs, et n’hésitent pas à multiplier au centuple les montants de leurs amendes.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.