Sanction d’un sous-traitant

Sanction d’un sous-traitant pour sa mauvaise gestion de données de santé

– Les méandres des pratiques de la société DEDALUS BIOLOGIE –

 

 Par sa décision symbolique du 15 avril 2022, la CNIL [1] a mis un stop aux manquements de la société DEDALUS BIOLOGIE en matière de protection des données.

Le dictionnaire “Le ROBERT” définit un dédale comme « le lieu où l’on risque de s’égarer à cause de la complication des détours. Ensemble de choses embrouillée ».

Force est de constater que DEDALUS BIOLOGIE porte bien son nom. Après avoir emprunté des chemins tortueux pour commercialiser ses solutions logicielles à destination des laboratoires d’analyses médicales, cette entreprise s’est finalement vue barrer net sa route par l’autorité de contrôle française.

AU DÉPART…  Retour sur le contexte de l’affaire

Le 23 février 2021, le journal LIBÉRATION dénonçait la présence sur un forum du “darknet”[2] d’un fichier contenant les informations personnelles de près de 500.000 individus.

Au-delà d’éléments d’ordre administratif, des données particulièrement sensibles concernant les victimes de cette publication ont été révélées au grand jour, et notamment des données relatives à leur santé. En l’occurrence, les renseignements suivants y figuraient :

  • L’identité et les coordonnées des médecins ayant prescrit les examens biologiques réalisés ;
  • L’identité et les coordonnées des préleveurs ;
  • L’état civil des patients, mais aussi leur numéro de sécurité sociale, les données relatives à leur mutuelle (dont leurs identifiants pour se connecter à leurs comptes individuels) ainsi que des commentaires libres concernant leurs pathologies ou leur suivi médical (diagnostics de VIH, cancers, maladies génétiques ; état de grossesse ; traitements médicamenteux en cours, etc.).

Afin de limiter au maximum les conséquences de cette divulgation pour les personnes concernées, la Présidente de la CNIL a été contrainte d’agir en justice en urgence. Le 4 mars 2021, le juge des référés du Tribunal Judiciaire de Paris a ainsi enjoint à différents fournisseurs d’accès à Internet de bloquer par tous moyens l’accès à ce fichier en ligne.

Les investigations menées par la Commission ont permis retrouver la trace du partenaire commercial des deux laboratoires d’où provenaient ces informations sensibles, à savoir la société DEDALUS BIOLOGIE.

 

Les malheureux raccourcis empruntés par la société DEDALUS BIOLOGIE pour assurer sa conformité

La CNIL avait déjà, par le passé, condamné conjointement un responsable de traitement et son sous-traitant[3].

La décision de la Commission du 15 avril 2022 est tout à fait singulière puisqu’ici seul le sous-traitant a été poursuivi[1]. Les laboratoires, à qui DEDALUS BIOLOGIE ne faisait que mettre à disposition un outil d’aide à la mise en œuvre de leurs traitements de données et en assurer la maintenance, n’ont fait l’objet d’aucune sanction.

 

Si l’autorité de contrôle n’indique pas expressément les raisons de cette exemption de responsabilité, il semblerait que cette mesure de faveur découle – comme il le sera expliqué par la suite :

  • D’une part, du fait que la société DEDALUS BIOLOGIE transmettait elle-même à ses clients ses propres conditions générales de vente, faisant office d’encadrement contractuel au titre du Règlement Général sur la Protection des Données (RGPD) ;
  • D’autre part, du fait que DEDALUS BIOLOGIE a excédé les instructions données par le responsable de traitement lors de la manipulation des données qui lui avaient été confiées.

La publicité attachée à la décision de la CNIL poursuit vraisemblablement un double objectif. Au-delà de sa portée individuelle, en ce qu’elle ajoute une sanction réputationnelle à la sanction pécuniaire prise contre DEDALUS BIOLOGIE, elle lance un avertissement à l’ensemble des sous-traitants.

La Commission affiche ainsi sans détours que ces derniers sont, eux aussi, susceptibles de voir leur responsabilité engagée, ce indépendamment de celle du responsable de traitement.

La Commission n’y est pas allée par quatre chemins pour justifier le montant particulièrement élevé de l’amende d’1,5 million d’euros prononcée contre DEDALUS BIOLOGIE. Selon elle, cette somme est tout à fait proportionnée au regard du chiffre d’affaires annuel conséquent de la société, estimé à 16,3 millions d’euros en 2020.

La souhaitant volontairement dissuasive, l’autorité régulatrice estime que la sévérité de cette condamnation est justifiée compte tenu de la gravité des manquements imputables à l’entreprise, du nombre de victimes et des conséquences préjudiciables de la violation de données subie par ces dernières.

1er égarement reproché à DEDALUS BOLOGIE : l’encadrement insuffisant de ses relations de sous-traitance

  • L’imprécision des documents formalisant la relation de sous-traitance

Le RGPD ne se contente pas d’imposer que les relations entre le responsable de traitement et chacun de ses sous-traitants soient formalisées par un acte juridique contraignant. Le contenu de ces écrits est également précisément défini par la législation européenne en termes de protection des données.

En l’espèce, la société DEDALUS BIOLOGIE et les laboratoires justifiaient bien avoir signé entre eux divers documents destinés à régir les modalités de leurs partenariats.

Pour autant, ni les conditions générales de vente proposées par DEDALUS BIOLOGIE, ni ses contrats de maintenance ne comportaient les mentions devant obligatoirement y figurer en application de l’article 28 du RGPD (telles que la description générique des traitements de données concernés par l’activité de sous-traitance, les droits et obligations respectifs des parties : devoir de confidentialité, d’assurer la sécurité des données, devoir de coopération, hypothèses de sous-traitance en cascade, etc.).

Pire, ces écrits faisaient référence à des dispositions obsolètes de la loi « Informatique et Libertés ».

DEDALUS BIOLOGIE a fait valoir qu’elle était en bonne voie de régulariser la situation, et avait rédigé de nouveaux modèles de contrats conformes. La CNIL considère toutefois ces efforts incomplets tant que l’intégralité des clients actuels de la société ne se sont pas vus remettre ces actes actualisés, quitte à devoir les renégocier…

  • Le dépassement des instructions données par le responsable de traitement

L’article 29 du RGPD n’autorise le sous-traitant à traiter les données du responsable de traitement que sur instructions de celui-ci et conformément à ses instructions.

En l’occurrence, les laboratoires avaient demandé à la société DEDALUS BIOLOGIE de faire migrer une liste précise des données de leurs patients de l’ancienne version de leur logiciel vers une plus récente. Or, leur prestataire a excédé ces consignes, tant en ce qui concerne le volume que les catégories de données extraites.

DEDALUS BIOLOGIE a indiqué que la solution qu’elle utilise pour réaliser ces transferts ne lui permettait pas de filtrer les informations à migrer, de sorte qu’elle était contrainte d’exporter la totalité de la base de données des centres d’analyses médicales.

La CNIL écarte cet argument. Elle affirme que DEDALUS BIOLOGIE ne peut pas invoquer le fait d’avoir usé d’un outil ne tenant pas la route pour se justifier d’avoir outrepassé les instructions du responsable de traitement.

2ème égarement reproché à DEDALUS BOLOGIE : les divers manquements à son obligation d’assurer la sécurité des données

L’autorité de contrôle relève que la société DEDALUS BIOLOGIE a sérieusement manqué à son obligation de prendre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données qui lui avaient été confiées, tel que le prévoit l’article 32 du RGPD.

Elle souligne que le sous-traitant a fait fausse route à de nombreux égards, notamment en raison de :

  • « L’absence de procédure spécifique pour les opérations de migration de données » ;

La CNIL insiste sur le fait que ces protocoles ne sont pas uniquement symboliques, et destinés à afficher le prétendu intérêt porté par l’organisme à sa conformité. Ils constituent une aide concrète, et permette que la réalisation d’une telle opération de migration s’effectue dans le respect de la législation en vigueur en matière de protection des données, en décrivant les étapes à suivre pour réaliser cette tâche ainsi que les rôles et responsabilités associées des différents intervenants.

  • « L’absence de chiffrement des données personnelles stockées » et « l’absence d’effacement automatique des données après migration vers l’autre logiciel » ;

Les informations extraites étaient ainsi transférées « en clair », c’est-à-dire lisibles directement par tous – aggravant d’autant les dommages susceptibles d’affecter les personnes concernées en cas de violation de données.

  • L’accès libre depuis Internet, sans authentification, à certaines données hébergées aux fins de migration dans la zone publique du serveur de DEDALUS BIOLOGIE et « l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur » ;

Dans ces conditions, les risques d’intrusion dans les fichiers traités par la société DEDALUS BIOLOGIE et de compromission des informations manipulées étaient donc particulièrement à craindre.

  • « L’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur ».

Les connexions suspectes à la base de données du sous-traitant n’étaient, de ce fait, pas détectées.

Mais surtout, la Commission érige en circonstance aggravante le fait que ces failles de sécurité ont perduré malgré les avertissements adressés à la société DEDALUS BIOLOGIE en ce sens.

Dès le mois de mars 2020, un salarié de l’entreprise avisait ainsi ses supérieurs sur les nombreuses vulnérabilités qu’il avait identifiées dans les systèmes informatiques déployés par l’organisme.

Face à l’absence de réaction de ses chefs, ce lanceur d’alerte aurait d’ailleurs prévenu les autorités avant de se faire curieusement licencier pour « fautes graves »[5].

Puis, en novembre 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI[6]) signalait à son tour à la société la mise en vente de données anonymisées de certains patients des laboratoires sur le “darknet”.

DEDALUS BIOLOGIE n’a cependant donné aucune suite à ces alertes. Cette indifférence a conduit la société tout droit dans l’impasse dans laquelle se trouve aujourd’hui.

À L’ARRIVÉE : l’importance de se faire accompagner dans sa conformité pour ne pas se tromper d’orientation

DEDALUS BIOLOGIE a été affectée par cette affaire à plus d’un titre. La sanction prononcée par la CNIL s’ajoute en effet à la cyberattaque dont elle a été victime, et à l’origine de la publication de ses bases de données.

L’auteur de ce piratage n’a d’ailleurs pas encore été identifié à ce jour.

Or, ces deux événements désastreux auraient pu être évités si la société avait mis en œuvre les mesures internes qui s’imposaient pour préserver ces données.

Ne vous perdez pas en chemin dans l’application quotidienne des impératifs issus du RGPD au sein de votre structure, comme a pu le faire DEDALUS BIOLOGIE.

L’essor économique et commercial d’une entreprise implique aujourd’hui nécessairement de prendre en compte les exigences nouvelles des citoyens en matière de protection de leurs données personnelles.

Si vous ne souhaitez pas trouver d’embuches sur votre route, il est important de vous faire guider par des professionnels capables d’adapter vos démarches de conformité à la stratégie de développement de votre entité.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Selon le dictionnaire “LAROUSSE”, le darknet est un « ensemble de réseaux permettant de partager de manière anonyme des données cryptées inaccessibles aux moteurs de recherche traditionnels », soit une forme d’Internet clandestin. En ce sens, il est lieu d’un grand nombre d’activités illégales (pédophilie, trafic d’armes, terrorisme, etc.).

[3] Pour plus d’informations concernant la condamnation récente d’un sous-traitant, faute pour lui d’avoir recherché les mesures adéquates pour assurer la sécurité des données personnelles et d’avoir proposé ces solutions au responsable de traitement, nous vous invitons à consulter l’article suivant : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant

[4] La délibération de la CNIL est disponible dans son intégralité à l’adresse suivante :

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368?init=true&page=1&query=san-2022-009&searchField=ALL&tab_selection=all

[5] Selon les journalistes du site de presse en ligne “Next INpact” dans un article dédié, publié à l’adresse suivante : https://www.nextinpact.com/article/43405/un-leader-europeen-donnees-sante-licencie-lanceur-dalerte-pour-faute-grave

[6] L’ANSSI est l’autorité nationale chargée « d’accompagner et de sécuriser le développement du numérique ». Elle s’inscrit à cet égard comme acteur majeur dans le domaine de la cybersécurité, et assure notamment un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.