L’autorité française de safety des données inflige une amende à un fournisseur de logiciels médicaux pour violation du RGPD

Le 21 avril 2022, l’autorité française de protection des données, la Commission Nationale de l’Informatique et des Libertés (CNIL), a annoncé sa décision d’infliger une amende de 1,5 million d’euros à l’éditeur de logiciels médicaux Dedalus Biologie après une violation de données qui a exposé les informations de santé de près de 500 000 personnes. La CNIL a noté que l’entreprise avait violé un certain nombre d’obligations du RGPD, notamment la mise en œuvre de mesures de sécurité appropriées, la conclusion d’accords de traitement de données conformes aux clients et le traitement des données personnelles conformément aux instructions du client.

L’importance de la décision réside dans le message selon lequel les autorités de protection des données peuvent infliger directement des amendes aux sous-traitants soumis au RGPD pour leurs propres violations. Les processeurs ne peuvent pas se protéger derrière le non-respect par un responsable du traitement des instructions de traitement claires ou leur fournir des instructions de traitement claires.

CONTEXTE

La CNIL a ouvert une enquête contre l’éditeur de logiciels suite à l’annonce d’une violation massive de données qui a touché près de 500 000 personnes, dont les données personnelles ont été traitées via le logiciel de l’entreprise pour les laboratoires d’analyses médicales. Les données d’identification et les données de santé (y compris les conditions médicales et les traitements) ont été publiées sur Internet.

DÉCISION

Échec de la saisie d’APD conformes au RGPD avec les clients.

Sur la base d’une analyse factuelle des activités de traitement associées aux services, la CNIL a déterminé que le fournisseur de logiciels devait être considéré comme un sous-traitant pour le compte des clients du laboratoire médical utilisant ses services.

La CNIL a conclu que le contrat de service standard de l’entreprise fourni aux clients ne contenait aucune des dispositions obligatoires en matière de traitement des données requises par l’article 28, paragraphe 3, du RGPD.

La société a cherché à faire valoir que l’obligation, en vertu de l’article 28, de conclure un contrat de traitement de données incombe également au responsable du traitement et au sous-traitant et que la société ne devrait pas être considérée comme seule responsable du non-respect.

La CNIL a conclu que l’obligation du responsable du traitement n’avait pas d’incidence sur l’existence d’une obligation distincte et indépendante pour le sous-traitant. En conséquence, la CNIL a déterminé que l’entreprise, en sa qualité de sous-traitant, devait être seule responsable de l’absence d’un accord de traitement des données compatible avec les clients/responsables.

Traitement des données personnelles en plus des instructions du client.

Dans le cadre de la migration d’un progiciel vers un autre outil logiciel, demandée par deux clients de l’entreprise, l’enquête de la CNIL a révélé que l’entreprise est allée au-delà des instructions des clients en extrayant et migrant plus de données personnelles que nécessaire.

L’entreprise a fait valoir que ses clients avaient validé la migration via des “tickets SAV”. Cependant, la CNIL a estimé que ces tickets ne fournissaient qu’une description des mesures prises par l’équipe de support de l’entreprise et ne fournissaient pas de preuves suffisantes du respect des instructions des clients ni ne constituaient une validation des activités de traitement de l’entreprise.

En conséquence, la CNIL a déterminé que la société avait violé l’article 29 du RGPD, qui interdit au sous-traitant de traiter des données à caractère personnel, sauf sur instruction du responsable du traitement.

Fait intéressant, la décision de la CNIL n’aborde pas la possibilité que l’entreprise ait agi en tant que responsable du traitement à part entière, dépassant les instructions des clients ou n’obtenant pas une validation suffisante sur les activités de migration de données. L’absence d’accords de traitement de données avec les clients (comme mentionné ci-dessus) aurait également dû être prise en compte.

Ne pas prendre les mesures de sécurité adéquates.

La CNIL a alors constaté que l’entreprise n’avait pas mis en œuvre les mesures de sécurité appropriées au sens de l’article 32 du RGPD, notamment en cryptant des données personnelles sensibles sur un serveur compromis, en menant des investigations suffisantes suite à des soucis de sécurité soulevés par un employé de l’entreprise en 2020, en mettant en œuvre la suppression de données appropriées. après la migration et nécessitant une authentification Internet pour accéder à la zone publique du serveur.

La CNIL a également noté que la gravité des manquements, le nombre de personnes concernées et les risques auxquels ces personnes sont confrontées du fait que leurs données sensibles sont potentiellement entre les mains de cybercriminels justifient une sanction pécuniaire importante et la publication de la décision de la CNIL. La CNIL n’a pas indiqué si l’un des clients de l’entreprise fait l’objet d’une enquête.

PLATS À EMPORTER POUR LES ENTREPRISES

Les sous-traitants sont largement considérés comme ayant un rôle subordonné aux contrôleurs dans le cadre du RGPD et, à ce jour, les amendes contre les sous-traitants ont été limitées. Cependant, la décision de la CNIL est un signal d’alarme pour que les éditeurs de logiciels et autres sous-traitants soumis au RGPD se préparent aux enquêtes des autorités de l’UE concernant leurs activités.

Les sous-traitants doivent également vérifier qu’il existe une documentation appropriée concernant les instructions des contrôleurs pour les activités de traitement spécifiques effectuées en leur nom. Les régulateurs peuvent consulter cette documentation pour confirmer la conformité des processeurs aux instructions du contrôleur.

Leave a Comment