Sidebar

Rubriques

La formation restreinte de la Commission nationale de l'informatique et des libertés (Cnil) a infligé une amende de 1,5 million d’euros à Dedalus Biologie qui s’est rendu responsable d’une fuite de données médicales concernant près de 500 000 personnes.

En février dernier, les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen mais surtout certaines des informations médicales de presque 500 000 personnes ont été diffusés sur Internet. Mis en cause, Dedalus Biologie (qui commercialise des logiciels à des laboratoires d’analyse médicale) a alors fait l’objet de plusieurs contrôles réalisés par la Cnil. Ayant ainsi constaté plusieurs manquements au Règlement général sur la protection des données (RGPD), l’Autorité a prononcé une amende de 1,5 million d’euros à l’encontre de la société, un montant qu’elle a fixé au regard de la gravité des faits et du chiffre d’affaires de cette dernière. Peu de temps après la fuite des données en ligne, le régulateur avait également obtenu le blocage de l’accès au site sur lequel elles étaient publiées.

De graves manquements

La Cnil a tout d’abord constaté une violation de l’article 29 du RGPD par Dedalus Biologie. En tant que sous-traitant des laboratoires utilisant ses services, l’éditeur de logiciels a l’obligation de respecter les instructions de ses clients car ils sont les responsables des traitements de données. Or, dans le cadre de la migration d’un logiciel vers un autre outil demandée par deux de ses clients, la société a extrait un volume de données plus important que celui requis et n’a donc pas respecté cette obligation. L’Autorité a également relevé que les conditions générales de vente proposées par Dedalus Biologie ainsi que ses contrats de maintenance ne contenaient pas les mentions obligatoires prévues par l’article 28-3 du RGPD.

Enfin, de graves et nombreuses failles concernant la sécurité des opérations de migration du logiciel de Dedalus Biologie vers un autre logiciel ont été établies. La société a ainsi manqué à son obligation, en tant que sous-traitant, d’assurer la sécurité des données personnelles, comme prévu par l’article 32 du RGPD. La Cnil a par exemple relevé l’absence de chiffrement des données personnelles stockées sur le serveur problématique, l’absence d’effacement automatique des données après migration vers l’autre logiciel ou encore l’absence de procédures de supervision et de remontées d’alertes de sécurité sur le serveur. Selon le régulateur, ces manquements techniques et organisationnels ont été les principales causes de la fuite de données médico-administratives.

Léna Fernandes

Prochains rendez-vous

2 juillet 2024
SAFE
Le nouveau rendez-vous du risk management et de la responsabilité
CONFÉRENCES ● EXPOSITION ● COCKTAIL

25 juin 2024
Leaders League Alliance Summit
L'événement qui rassemble le meilleur du Corporate, du monde juridique et de l'innovation
CONFÉRENCES ● DÉJEUNER D'AFFAIRES  LEGALTECH SHOW ● REMISE DE PRIX   COCKTAIL 
Voir le site 

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX
Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  
Voir le site »

Classements > Juridiques

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2024

 
 
 

Avertissement Important

Le Magazine Décideurs est un site d'information professionnelle qui ne fait appel à aucun cookies tiers à des fins commerciales. Seuls des cookies de navigation nécessaires au bon fonctionnement du site sont utilisés.

J'accepte
Copyright © 2024 DECIDEURS MAGAZINE - Toute l'actualité de la vie des entreprises - Tous droits réservés decideurs-magazine.com. Le site decideurs-magazine.com est édité par Leaders League - Une société du Groupe Ficade - Une réalisation de Mediamatis.com.