Le 23 février 2021 le journal LIBÉRATION publiait un article révélant que des données de santé de près de 500 000 patients français étaient dérobées à des laboratoires d’analyses médicales et diffusées en ligne.
Initialement partagée sur des forums de pirates informatiques, cette base de données avait été plus largement diffusée.
La CNIL avait alors effectué des contrôles en ligne, sur pièces et dans les locaux des sociétés DEDALUS FRANCE et DEDALUS BIOLOGIE, afin de vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements, mis en œuvre par des laboratoires d’analyses médicales au moyen des solutions ou services commercialisés par ces sociétés.
En parallèle, la CNIL avait saisi le juge des référés afin que soit assuré le blocage effectif du fichier litigieux contenant les données des patients.
Pour prononcer une amende administrative de 1 500 000 (un million cinq cent mille) euros, la CNIL a notamment tenu compte:
- Du caractère extrêmement dommageable de la violation pour les personnes concernées, dans la mesure où, outre des données d’état civil (civilité, nom, prénom), des coordonnées postales, électroniques et téléphoniques, des données très sensibles ont été divulguées. Le fichier objet de la violation de données à caractère personnel contenait en effet des mentions relatives à l’infection au VIH, à des cancers ou des maladies génétiques, à la grossesse, aux traitements médicamenteux suivis par les patients ou encore à des données génétiques.
- Des négligences commises en matière de sécurité qui ont été multiples et particulièrement graves, alors que la société DEDALUS BIOLOGIE traite de données sensibles et qu’elle avait d’ores et déjà été alertée sur l’existence potentielle de risques, dont certains se sont réalisés.
- Ainsi que du chiffre d’affaires et du résultat net de cette société.
Pour prendre la décision de rendre publique cette décision, la CNIL a tenu compte de la gravité des manquements commis, particulièrement des manquements relatifs à la sécurité, du nombre de patients concernés et des conséquences pour celles-ci.
Nous restons à votre disposition pour vous accompagner dans le cadre d’une mise en conformité de vos traitements de données de santés.
N’hésitez pas à nous contacter.