Fuite de données : 1,5 million d’euros d’amende de la CNIL

Nous n’arrêtons pas de le rappeler, la protection des données importante. Que ce soit pour protéger votre entreprise et vos clients des fraudes, ou pour éviter d’être sanctionné par la CNIL pour manquement au RGPD. Dans le cas présent, la faille de sécurité provenait principalement d’une mauvaise gestion technique et administrative au niveau informatique.

Afin de protéger votre entreprise contre le vol de données, il est primordial de mettre en place un chiffrement des données et des accès sécurisés. En outre, il ne faut jamais jeter votre ancien matériel informatique à la poubelle, mais plutôt passer par un service de destruction de matériel informatique tel que celui que nous proposons chez Destrudata.

Rappel des faits

En avril 2022, la société Dedalus Biologie, qui commercialise des solutions logicielles pour des laboratoires d’analyse médicale, a écopé d’une amende de 1,5 million d’euros suite à une sanction de la CNIL. La faute principale de l’entreprise était d’avoir eu de graves défauts de sécurité ayant mené à une énorme fuite de données médicales concernant environ 500 000 personnes.

Cette fuite, révélée dans la presse le 23 février 2021, était particulièrement grave puisque les dossiers médicaux de ces personnes ont été diffusés sur internet. Absolument toutes les données ont été dévoilées : noms, prénoms, numéros de sécurité sociale, noms des médecins des patients, ainsi que toutes les informations médicales des patients (traitements, grossesses, maladies génétiques, cancers, VIH, données génétiques, etc.).

La CNIL a effectué des contrôles dès le 24 février 21, tout de suite après les révélations. Ces contrôles se sont portés sur plusieurs entreprises, dont Dedalus Biologie. En outre, la CNIL a saisi le tribunal judiciaire de Paris afin de bloquer le site internet sur lequel les données avaient été publiées.

Une fuite de données qui aurait pu être évitée

Lors des contrôles effectués par la CNIL, de graves manquements au RGPD ont été constatés. Parmi les obligations que la société n’avait pas respectées, il y avait notamment l’obligation d’assurer la sécurité des données personnelles. Devant la gravité des faits, la CNIL a décidé de rendre publique sa décision et le montant de l’amende.

Voici les trois manquements sanctionnés par la CNIL :

1. « Manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD) ».
2. « Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD) »
3. « Manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) »

C’est ce 3ème manquement qui va nous intéresser en particulier, car il est à l’origine de la fuite des données. Ce manquement concerne des éléments de sécurité techniques et organisationnels qui n’ont pas été respectés lors de la migration d’un logiciel vers un autre. C’est principalement cette absence de sécurité qui a permis le vol des données personnelles, ce qui viole le RGPD.

La liste des failles de sécurité liées au 3ème manquement est :

• Pas de chiffrement des données personnelles,
• Pas de procédure spécifique pour l’opération de migration de données,
• Partage de comptes utilisateurs entre salariés,
• Pas d’authentification requise pour accéder au serveur public depuis internet,
• Pas d’effacement des données sur le serveur d’origine après leur migration,
• Pas de procédure de supervision et de surveillance des alertes de sécurité du serveur.

Ces manquements sont particulièrement graves et dangereux, notamment au niveau du manque de chiffrement et de l’effacement des données. En effet, même si personne n’avait réussi à s’introduire dans les serveurs pour voler ces données, elles auraient très bien pu être volées autrement.

Par exemple, de telles données pourraient se retrouver sur un disque dur ou une clé USB, lesquels pourraient être volés ou jetés pour les remplacer. Si des personnes malveillantes venaient fouiller les poubelles d’une telle entreprise, elles pourraient récupérer du matériel informatique jeté et récupérer toutes les données sans difficulté.

De manière générale, les supports informatiques sont une potentielle faille de sécurité importante en entreprise car les données peuvent être récupérées même après avoir formaté les supports. Si vous avez besoin de vous débarrasser de disques durs et d’autres supports informatiques, il est recommandé de passer par notre service de destruction de matériel informatique.

• Cyberattaques en entreprises : risques et précautions
• Comment agir en cas de perte ou de vol d’ordinateur professionnel ?