Délibération de la forma­tion restreinte n° SAN-2022–009 du 15 avril 2022 concer­nant la société DEDALUS BIOLOGIE.

Le 23 février 2021, le jour­nal Libération révèle une fuite de données « d’une ampleur inédite en France » concer­nant des données médico-admi­nis­tra­tives d’environ 500’000 personnes.

Parmi les données pira­tées et diffu­sées en ligne, figurent des données de patients haute­ment sensibles, notam­ment des données rela­tives à des patho­lo­gies (p. ex. VIH, cancer et mala­dies géné­tiques), à la gros­sesse, à des trai­te­ments médi­ca­men­teux ainsi qu’à des données génétiques.

À la suite de ces révé­la­tions, la Commission Nationale de l’Informatique et des Libertés (CNIL) mène une enquête et contrôle la société Dedalus Biologie, qui commer­cia­lise des solu­tions logi­cielles de gestion de labo­ra­toire médi­cal. En paral­lèle, en date du 1^er mars 2021, la CNIL saisit le Tribunal Judiciaire de Paris afin de bloquer l’accès au site web sur lequel figure les données pira­tées, ce qui permet de limi­ter les consé­quences de la fuite.

Au cours des enquêtes, il ressort que la fuite provient d’une intru­sion au sein d’un serveur infor­ma­tique de Dedalus Biologie, qui a eu lieu lors de la migra­tion de données.

Ainsi, le 15 avril 2022, la CNIL conclut à la viola­tion par Dedalus Biologie de ses obli­ga­tions en qualité de sous-trai­tant (au sens des art. 28 par. 3, 29 et 32 RGPD) et prononce une amende contre la société susmen­tion­née d’un montant de EUR 1,5 million.

Contrat de sous-traitance

Premièrement, en quali­fiant Dedalus Biologie de sous-trai­tant au sens de l’art. 4 par. 8 RGPD et en consi­dé­rant que les condi­tions géné­rales de vente et que le contrat de main­te­nance trans­mis par cette dernière à ses clients font office de cadre contrac­tuel au sens de l’art. 28 par. 3 RGPD, la CNIL reproche à Dedalus Biologie l’absence des mentions prévues par l’art. 28 par. 3 let. a à h RGPD.

Dedalus Biologie soutient que le respon­sable de trai­te­ment est égale­ment tenu de prévoir un contrat de sous-trai­tance qui répond aux condi­tions de l’art. 28 par. 3 RGPD. La CNIL consi­dère toute­fois que cette double respon­sa­bi­lité n’exonère pas le sous-trai­tant d’une respon­sa­bi­lité propre de prévoir un tel contrat. Partant, Dedalus Biologie a violé ses obli­ga­tions au sens de l’art. 28 par. 3 RGPD.

Traitement sur instruc­tions du respon­sable de traitement

Deuxièmement, lorsqu’à la demande de deux labo­ra­toires, quali­fiés de respon­sables du trai­te­ment, Dedalus Biologie migre des données d’une solu­tion infor­ma­tique vers une autre, elle extrait un volume de données excé­dant les instruc­tions de ses clients, en viola­tion de l’art. 29 RGPD. La CNIL consi­dère que l’utilisation par le sous-trai­tant d’une solu­tion infor­ma­tique inadap­tée ne justi­fie pas l’outrepassement des instruc­tions des respon­sables de trai­te­ment, et que des mesures de suppres­sion des données auraient, au moins, dû être prises.

Sécurité des données

Troisièmement, la CNIL constate que malgré des alertes prove­nant d’un ancien sala­rié en mars 2020 et de l’Agence natio­nale de la sécu­rité des systèmes d’information (ANSSI) en novembre 2020, Dedalus Biologie a omis d’instaurer des mesures de sécu­rité suffi­santes pour enca­drer son serveur « FTP MEGABUS », ce qui a fina­le­ment permis aux tiers non auto­ri­sés d’accéder aux données, ainsi que de les diffuser.

En préci­sant que les données sensibles néces­sitent de par leur nature des mesures de sécu­rité parti­cu­lières, la CNIL reproche à Dedalus Biologie notam­ment l’absence : (i) de procé­dure spéci­fique s’agissant des opéra­tions de migra­tion de données ; (ii) de chif­fre­ment des données à carac­tère person­nel figu­rant sur le serveur FTP MEGABUS ; (iii) d’effacement auto­ma­tique des données du premier logi­ciel suite à la migra­tion ; (iv) d’authentification néces­saire afin d’accéder à la zone publique du serveur depuis Internet ; et (vi) de procé­dure de contrôle et de remon­tée d’alertes de sécu­rité sur le serveur. Elle lui reproche égale­ment l’utilisation par plusieurs sala­riés de comptes utili­sa­teurs parta­gés sur la zone privée du serveur.

Par consé­quent, la CNIL consi­dère qu’en raison de ces défauts de sécu­rité à l’origine de l’intrusion sur son serveur FTP MEGABUS, Dedalus Biologie a violé ses obli­ga­tions d’assurer la sécu­rité des données au sens de l’art. 32 RGPD.

Analyse sous l’angle du droit suisse

Bien que les obli­ga­tions du sous-trai­tant soient moins détaillées dans la LPD qu’à l’art. 28 par. 3 RGPD, l’art. 10a LPD ainsi que l’art. 9 al. 1 nLPD prévoient égale­ment (entre autres) la mise en place d’une conven­tion au sujet de la sous-trai­tance des trai­te­ments de données.

Selon l’art. 10a al. 2 LPD, le respon­sable du trai­te­ment a une obli­ga­tion de dili­gence, et doit s’assurer que le sous-trai­tant respecte le stan­dard de sécu­rité néces­saire. Le sous-trai­tant a égale­ment l’obligation de respec­ter les mêmes normes que le respon­sable du trai­te­ment en matière de sécu­rité des données (art. 8 OLPD).

En outre, l’art. 8 al. 1 nLPD prévoit expres­sé­ment l’obligation du sous-trai­tant d’assurer, par des mesures orga­ni­sa­tion­nelles et tech­niques appro­priées, une sécu­rité adéquate des données par rapport au risque encouru.

Bien que le droit actuel ne prévoie pas d’amende pénale pour une telle viola­tion de sécu­rité par le sous-trai­tant, sur plainte, l’art. 61 let. c nLPD prévoit une amende pénale en cas de viola­tion inten­tion­nelle des exigences mini­males en matière de sécu­rité des données édic­tées par le Conseil fédé­ral au sens de l’art. 8 al. 3 nLPD.

Dans la mesure où l’art. 8 al. 1 nLPD prévoit une respon­sa­bi­lité propre du sous-trai­tant d’assurer un niveau de sécu­rité adéquat des données qui lui sont confiées, le sous-trai­tant qui viole inten­tion­nel­le­ment les exigences mini­males de sécu­rité risque égale­ment d’être sujet à une amende au sens de l’art. 61 let. c nLPD.

Finalement, bien que cet aspect ne soit pas adressé dans la déci­sion de la CNIL, on ne saurait faire abstrac­tion de la respon­sa­bi­lité pénale du respon­sable du trai­te­ment dans un cas simi­laire au cas d’espèce. En effet, l’art. 61 let. b nLPD prévoit une amende pénale dans l’hypothèse où un respon­sable du trai­te­ment confie inten­tion­nel­le­ment le trai­te­ment de données person­nelles à un sous-trai­tant sans s’assurer que ce dernier soit en mesure de garan­tir la sécu­rité des données (art. 9 al. 2 nLPD). Cette infrac­tion trouve son origine dans le fait que tant le RGPD (art. 28 par. 1) que la LPD (art. 10a al. 2) et que la nLPD (art. 9 al. 2) imposent au respon­sable du trai­te­ment de s’assurer que le sous-trai­tant garan­tisse la sécu­rité des données. Ainsi, dans une telle situa­tion, le respon­sable du trai­te­ment pour­rait être sanc­tionné péna­le­ment pour un éven­tuel manque­ment à ses propres obli­ga­tions vis-à-vis du sous-traitant.