Editeurs de solutions logicielles : pensez au RGPD ! … une amende de 1,5 millions d’euros pour DEDALUS BIOLOGIE

La société DEDALUS BIOLOGIE manque à plusieurs obligations au titre du RGPD, ce qui lui coute 1,5 million d’euros !

La société DEDALUS BIOLOGIE édite et commercialise une plateforme logicielle à destination de laboratoires d’analyses médicales et fournit des services d’installation, d’intégration et de maintenance.

Elle est qualifiée de “Sous-traitant” au sens du RGPD.

Responsable de la fuite de données médicales de près de 500 000 personnes en 2021, plusieurs manquements au RGPD sont reprochés à DEDALUS BIOLOGIE :

1. Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement :

L’article 28.3, du RGPD prévoit que :

• ” Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant :

1.         a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
2.           b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
3.           c) prend toutes les mesures requises en vertu de l’article 32 ;
4.          d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant ; […] “.

DEDALUS BIOLOGIE n’a pas signé le contrat rendu obligatoire au titre de l’article 28 du RGPD. Ce contrat est encore nommé le “DPA” (Data Processing Agreement).

2. Manquement à l’obligation pour le sous-traitant de ne traiter les données à caractère personnel que sur instruction du responsable de traitement

“DEDALUS BIOLOGIE a extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients, les laboratoires […] et […]. Le rapporteur en conclut que la société DEDALUS BIOLOGIE a traité des données au-delà des instructions données par les responsables de traitement, ce qui constitue un manquement à l’article 29 du RGPD.”

3. Manquement à l’obligation d’assurer la sécurité des données

L’article 32 du RGPD prévoit que :

• “Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

1. a) la pseudonymisation et le chiffrement des données à caractère personnel ;
2. b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
3. c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
4. d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.”

La Sanction :

Pour déterminer le montant de l’amende administrative la CNIL doit prendre en compte les critères de l’article 83 du RGPD, tels que la nature et la gravité de la violation, le nombre de personnes affectées et le niveau de dommage qu’elles ont subi, le fait que la violation a été commise par négligence, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.

Compte tenu de tous ces critères, en particulier le fait que les nombreux défauts de sécurité sont la cause d’une divulgation massive de données à caractère personnel (près de 500 000 personnes concernées) avec des répercussions graves pour les personnes concernées compte tenu de la nature des données, la CNIL va sanctionner l’éditeur à une amende de 1,5 millions d’euro ainsi que la publicité de sa décision.

Ce qu’il faut retenir :

• Editeurs de solutions logicielles :
  • intégrez un contrat de gestion des données personnelles conforme à l’art. 28 du RGPD dans vos CGV ;
  • respectez les instructions de vos clients en matière de traitement de données
• la société DEDALUS BIOLOGIE a été sanctionné pour les manquements en matière de sécurité suivants, soyez vigilants sur les normes de sécurité appliquées à vos plateformes :
  • absence de procédure spécifique pour les opérations de migration de données ;
  • absence de chiffrement des données personnelles stockées sur le serveur problématique ;
  • absence d’effacement automatique des données après migration vers l’autre logiciel ;
  • absence d’authentification requise depuis internet pour accéder à la zone publique du serveur ;
  • utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ;
  • absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

Claudia Weber, avocat fondateur, ITLAW Avocats

La délibération est ici

Et vous ? Où en êtes-vous ?

Besoin d’aide pour y voir plus clair dans vos contrats ? votre politique de sécurité ? vérifier si vous êtes conforme, évaluer vos risques et trouver les solutions pour la gestion de vos risques ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles,  de projets informatiques complexes, de contrats, d’innovation et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.