Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes.
Dans un communiqué publié le 21 avril 2022, la CNIL annonce avoir prononcé une amende de 1,5 millions d’euros à l’encontre de la société DEDALUS BIOLOGIE “au regard de la gravité des manquements retenus”. Ces manquements avaient été signalés, dès 2019, par un lanceur d’alerte accompagné par la Maison des Lanceurs d’Alerte. Ce dernier avait été licencié en avril 2020 à la suite de ses signalements.
La société DEDALUS est en effet accusée d’avoir manqué à plusieurs obligations prévues par le RGPD, en particulier l’obligation d’assurer la sécurité des données personnelles. Elle est par ailleurs accusée d’avoir extrait un volume de données plus important que celui requis dans le cadre de certaines de ses prestations, notamment la migration d’un logiciel vers un autre outil demandée par deux laboratoires. Dans le cadre de cette opération, la CNIL a également constaté l’absence de chiffrement de ces données personnelles, l’absence d’effacement automatique après la migration ou l'”absence d’authentification requise depuis internet pour accéder à la zone publique du serveur” ce qui signifie que des utilisateurs extérieurs étaient susceptibles de pouvoir accéder à ces données.
La CNIL affirme que “cette absence de mesures de sécurité satisfaisantes est l’une des causes de la violation de données qui a compromis les données médico-administratives de près de 500 000 personnes ».