Connexion
Abonnez-vous

Pourquoi la CNIL a condamné Dedalus à une sanction de 1,5 million d’euros

RGPD refoulé

Pourquoi la CNIL a condamné Dedalus à une sanction de 1,5 million d'euros

Le 21 avril 2022 à 15h56

La formation restreinte de la CNIL a infligé une amende de 1,5 million d'euros à Dedalus Biologie, « notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes », et décidé de rendre publique sa décision, particulièrement accablante.

L'affaire remonte au 23 février 2021, lorsque Libération révélait que « Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne » :

« Selon les spécialistes, la fuite est d’une ampleur inédite en France pour des données ayant trait à la santé. Le fichier en question, que "CheckNews" a pu consulter, contient l’identité complète de près d’un demi-million de Français, souvent accompagnée de données critiques, comme des informations sur leur état de santé ou même leur mot de passe. Initialement partagée sur des forums de pirates informatiques, cette base de données est de plus en plus largement diffusée. »

Nous l'avions à l'époque analysée, et découvert qu'y figuraient plus précisément 489 838 numéros de sécurité sociale (ou NIR) et 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d'« enfant », 425 de « bébé » et 265 de « sœur », 270 569 numéros de téléphone fixe et 159 591 portables, 55 738 adresses email uniques de patients et 337 de médecins, et 14 997 mots de passe, le tout « en clair ».

La délibération de la CNIL précise que « les données à caractère personnel de 491 840 patients y figuraient, parmi lesquelles » :

  • des données d’identification : numéro de sécurité sociale, nom, prénoms, sexe, adresse postale, numéro de téléphone, adresse électronique, date de la dernière visite médicale, date de naissance ;
  • deux colonnes de commentaires libres contenant notamment des informations relatives aux pathologies des patients (VIH, cancers, maladies génétiques), à l’état de grossesse, aux traitements médicamenteux suivis par le patient ou encore des données génétiques ;
  • des données d’identification du médecin prescripteur : nom, prénom, adresse postale, numéro de téléphone, adresse électronique ;
  • des données relatives au préleveur : nom, prénom, adresse, numéro de téléphone ;
  • des données relatives à la mutuelle du patient : "Id tiers payant" (suite de chiffres), adresse postale, numéro de téléphone ;
  • une colonne "Identifiant SR" et une colonne "MP", correspondant, au regard de son contenu, aux identifiants et mots de passe utilisés par le patient pour se connecter à son espace.

Dès le 24 février, la CNIL procédait à « plusieurs contrôles, notamment auprès de la société Dedalus Biologie qui commercialise des solutions logicielles pour des laboratoires d’analyse médicale » et d'où semblaient émaner les données. Était également contrôlé Dedalus France, sa maison mère, « qui emploie environ neuf cents personnes et qui est composé, en France, de cinq sociétés ».

Cette précision est importante parce que nous avions révélé, un an auparavant, que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait précisément prévenu les autorités sur les nombreux problèmes de sécurité non traités par Dedalus.

Il avait entre autres découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ». Précédent qui a pesé dans l'établissement conséquent de l'amende infligée à Dedalus. Nous y reviendrons.

« En parallèle, le 1er mars 2021 », la CNIL faisait « délivrer une assignation en référé d’heure à heure aux différents fournisseurs d’accès à Internet, afin que soit assuré le blocage effectif du fichier contenant les données de près de 500 000 patients ».

Nous avions néanmoins réussi à le télécharger sur RaidForums, qui était à l'époque le plus gros forum de reventes de fuites de données. Il a depuis été saisi par les autorités et son administrateur de 21 ans incarcéré en Grande-Bretagne, en attendant une éventuelle extradition aux États-Unis, où le FBI vient de l'inculper pour de toutes autres affaires.

« On peut retrouver ce fichier à 7 endroits différents sur internet », avait en effet expliqué Damien Bancal, journaliste spécialiste de la cybersécurité, qui avait le premier identifié la fuite le 14 février sur son site Zataz.

En 2020, Dedalus n'avait pas encore intégré le RGPD

« Environ trois mille laboratoires de Biologie médicale privés et entre trente et cinquante laboratoires d’analyses d’établissements publics de santé » utilisent les solutions de gestion de laboratoire de Dedalus Biologie, précise la délibération.

La formation restreinte estime dès lors que « Dedalus Biologie agit en qualité de sous-traitant des traitements mis en œuvre pour le compte de ses clients, les laboratoires, qui sont responsables de traitement, [...] et qu’elle agit, de manière générale, uniquement sur la base de leurs instructions ».

Elle ne lui fait pas moins grief de plusieurs manquements au RGPD, à commencer par son « obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement » :

« Aux termes de l’article 28, paragraphe 3, du RGPD, "Le traitement par un sous-traitant est régi par un contrat [...] qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement". »

Or, constate le rapporteur, François Pellegrini, « il ressort des éléments transmis par la société Dedalus Biologie que les différents documents encadrant les relations contractuelles entre la société sous-traitante et les laboratoires ne comportent pas les mentions requises par l’article 28 du RGPD » :

« Il relève que les conditions générales de vente proposées par Dedalus Biologie au moment où les laboratoires acceptent sa prestation ne comportent aucune des mentions requises par cet article. De même, il note que les mentions requises ne figurent pas non plus dans les contrats de maintenance conclus entre la société et les laboratoires, tels que transmis à la CNIL. »

En défense, Dedalus Biologie « ne conteste pas la matérialité du manquement », mais argue du fait que « la conclusion d’un contrat de sous-traitance constitue une obligation tant pour le responsable de traitement que pour le sous-traitant », et qu'elle « ne saurait être tenue seule responsable de ce manquement ».

À quoi la formation restreinte rétorque trois arguments :

  1. « c’est la société elle-même qui transmet aux laboratoires ses propres conditions générales de vente qui font office d’encadrement contractuel au titre du RGPD », ce qui matérialise la responsabilité propre au sous-traitant ;
  2. « les conditions générales de vente proposées par Dedalus Biologie au moment où les laboratoires acceptent sa prestation, transmises par la société dans le cadre de la procédure de contrôle, ne comportent aucune des mentions requises par l’article 28 du RGPD », pas plus qu'elles ne figurent « dans les contrats de maintenance transmis à la CNIL, conclus entre la société et les laboratoires ».
  3. un contrat de maintenance datant de 2019 comportait certes une partie dédiée aux données à caractère personnel, « mais qui ne répond pas aux exigences de l’article 28 du RGPD et vise des dispositions obsolètes de la loi Informatique et Libertés » de 1978. 

De plus, ce n'est qu'après les contrôles de la CNIL qu'elle a commencé à mettre ses contrats de sous-traitance en conformité avec le RGPD qui, rappelons-le, avait été adopté en 2016, et qui était applicable depuis 2018.

Dedalus a cherché à reporter la faute à son logiciel

La formation restreinte constate un second manquement relatif, cette fois, « à l’obligation pour le sous-traitant de ne traiter les données à caractère personnel que sur instruction du responsable de traitement » :

« Aux termes de l’article 29 du RGPD, "Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre". »

Or, le rapporteur relève que « Dedalus Biologie a extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients ». Le nom des deux laboratoires contrôlés est anonymisé par la CNIL, mais les exemples sont parlants.

Le premier avait en effet « sollicité, "selon les préconisations de Dedalus", la migration de données de la solution MEGABUS (également appelée DXLAB ONE) vers la solution KALISIL pour les patients ayant procédé à une analyse médicale après le 7 mai 2017 » :

« Or, les données extraites par la société Dedalus Biologie pour cette migration comportaient 8 403 lignes relatives à des patients dont la date de dernière visite était antérieure au 7 mai 2017, ce qui représente 6,5 % de la volumétrie totale. »

Le second lui avait demandé de « procéder à une extraction de la base des données de patients contenues dans le logiciel DXLAB ONE afin de migrer vers un autre logiciel édité et maintenu par une société tierce », tout en lui fournissant « une liste des champs à extraire afin d’être importés dans la nouvelle solution logicielle ». Or :

« Les colonnes "commentaire P" (contenant des informations telles que "STERILITE 100%", etc.) et "commentaire D" (contenant des informations telles que "TUBERCULOSE OSSEUSE SOUS RIFATER", "XARELTO" (médicament), "DIABETE", etc.) ont également été extraites, alors pourtant qu’elles ne figuraient pas dans la liste des champs à extraire. »

En réponse, Dedalus Biologie explique que « l’outil d’extraction disponible sur l’ancien logiciel DXLAB ONE, utilisé pour ces migrations, ne permettait que de procéder à une extraction totale du fichier des patients du laboratoire concerné, sans possibilité d’ajouter des filtres sur les champs à exporter pour n’en extraire que certains ».

À quoi la formation restreinte rétorque que la société « ne saurait se prévaloir d’un outil inadapté pour justifier d’avoir outrepassé les instructions des responsables de traitement » :

« Elle aurait pu, par exemple, opter pour un autre outil lui permettant de respecter les instructions données par ses clients, comme elle indique le faire désormais, ou a minima supprimer toutes les données qui n’auraient pas dû être extraites. »

De nombreux manquements en matière de sécurité 

Troisièmement, la formation restreinte lui reproche un « manquement à l’obligation d’assurer la sécurité des données ».

L'article 32 du RGPD prévoit en effet que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », à commencer par « la pseudonymisation et le chiffrement des données à caractère personnel ».

Le responsable du traitement doit en outre s'assurer des moyens permettant de :

  1. « garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes » des traitements,
  2. « rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident »,
  3. disposer d' « une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».

De plus, et « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. »

Or, évoquant à mots couverts notre enquête sur le lanceur d'alertes que Dedalus avait licencié pour « fautes graves », « le rapporteur relève que, dès mars 2020, un ancien salarié de la société Dedalus Biologie avait fait remonter à son employeur des problèmes de sécurité », et qu'« il est établi que celui-ci avait bel et bien effectué des signalements pertinents ».

De plus, « de nombreux manquements techniques et organisationnels en matière de sécurité ont été constatés lors des contrôles de la CNIL et peuvent être retenus à l’encontre la société Dedalus Biologie ». Il relève, « notamment » :

  • « l’absence de procédure spécifique s’agissant des opérations de migration de données,
  • l’absence de chiffrement des données à caractère personnel stockées sur le serveur FTP MEGABUS,
  • l’absence d’effacement automatique des données après migration vers un autre logiciel,
  • l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur FTP MEGABUS,
  • l’utilisation de comptes utilisateurs partagés entre plusieurs salariés s’agissant de la zone privée de ce même serveur et
  • l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur. »

L'enquête diligentée par un prestataire (non identifié, ndlr) mandaté par Dedalus avait en effet relevé que « 90 % des données à caractère personnel du fichier objet de la violation, publié sur Internet en février 2021, étaient présentes sur un serveur FTP hébergé sur le serveur de télémaintenance MEGABUS (MEGAEXT) » :

« Le rapporteur en conclut que, malgré des alertes préalables, la société Dedalus Biologie n’a pas mis en œuvre de mesures satisfaisantes de sécurité pour encadrer le serveur FTP MEGABUS, ce qui a non seulement permis l’accès aux données concernées par des tiers non autorisés, mais également la divulgation sur des forums d’un fichier contenant les données médico-administratives de près de 500 000 personnes. »

Plusieurs mesures de sécurité élémentaires faisaient défaut 

Pour sa défense, Dedalus Biologie avance « qu’environ 10 % du fichier circulant sur Internet (soit environ 43 000 enregistrements) ne se trouvait pas sur le serveur FTP et qu’environ 50 % des données du serveur FTP ne se trouvaient pas dans le fichier circulant sur Internet », et cherche à botter en touche :

« Au regard des incohérences subsistantes entre les données présentes sur le serveur FTP et celles ayant circulé sur Internet, les investigations combinées de Dedalus Biologie et [du prestataire, …], qui se sont achevées le 26 mars 2021, n’ont pas permis à l’époque des faits de conclure avec certitude que lesdites intrusions seraient à l’origine de la cyberattaque reportée par la presse. »

À quoi la formation restreinte rétorque qu’il ressort bien des éléments du dossier qu’ « environ 90 % des données du fichier publié étaient présentes sur le serveur FTP », et lui renvoie une ribambelle de rappels à l'ordre, ainsi qu'aux b.a.-ba du métier et des règles élémentaires de sécurité :

  1. « la société ne disposait pas de procédure spécifique établie s’agissant des opérations de migration de données ;
  2. aucune mesure de sécurité n’était notamment prévue pour l’envoi des données, pourtant sensibles au sens de l’article 9 du RGPD. Les fichiers d’extractions de données étaient donc envoyés "en clair" [...] sans aucune mesure de chiffrement ou de sécurité ;
  3. plusieurs mesures de sécurité élémentaires en matière de sécurité faisaient défaut ;
  4. les données à caractère personnel stockées sur le serveur FTP MEGABUS n’étaient pas chiffrées et étaient donc directement lisibles, alors qu’il s’agit de données sensibles ;
  5. en outre, dans le cadre des migrations du logiciel DXLAB ONE vers un autre logiciel, les données, une fois transférées sur le serveur, n’étaient pas effacées automatiquement, [faisant] encourir un risque de fuite ou de compromission desdites données ;
  6. la zone publique du serveur, dans laquelle certaines données des laboratoires ont été stockées aux fins de migration, était accessible librement sans authentification depuis Internet ;
  7. en outre, la zone privée du serveur était accessible avec des comptes utilisateurs partagés entre plusieurs salariés [faisant] peser un risque disproportionné, pourtant facilement évitable, sur la sécurité du traitement et augmente considérablement les risques de compromission, notamment du fait de la circulation du mot de passe entre plusieurs personnes ;
  8. aucune procédure de supervision et de remontée d’alertes de sécurité n’était mise en œuvre sur le serveur FTP. Les connexions provenant d’adresses IP suspectes n’étaient donc ni détectées ni traitées ;
    plusieurs alertes successives auraient dû conduire la société à effectuer des investigations sur son système de sécurité ;
  9. si la société indique avoir entrepris des investigations internes pour identifier la source possible de compromission et avoir mis en œuvre plusieurs actions correctives et préventives, elle n’a pas effectué de diligences suffisantes afin d’identifier si les données d’autres laboratoires avaient pu être compromises et si des vulnérabilités existantes étaient à l’origine de la compromission. »

La formation restreinte considère dès lors que « la société n’a pas pris la mesure des problèmes de sécurité qu’elle rencontrait à l’époque, lesquels ont fini par aboutir à la violation de données de février 2021 » :

« Ainsi, l’absence de mise en place de mesures de sécurité protégeant le serveur en cause - notamment l’absence de chiffrement, l’absence d’effacement automatique des données après leur migration, l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur et l’utilisation de comptes utilisateurs partagés - a conduit à rendre accessibles lesdites données à des tiers, et ce malgré des alertes préalables à la violation de données à caractère personnel ayant conduit à la divulgation d’un fichier contenant les données médico-administratives de près de 500 000 personnes. »

Elle souligne au surplus que « le manquement reproché n’est pas constitué par les violations de données en tant que telles, mais par les défauts de sécurité qui sont à l’origine de l’intrusion sur les serveurs de la société, constatés lors des contrôles effectués par la CNIL ».

Des manquements d’une particulière gravité

Plaidant en vue d'éviter, sinon une amende, tout du moins une trop forte amende, Dedalus Biologie « insiste en défense sur l’absence de violation commise précédemment, sur son importante coopération avec la CNIL, sur les mesures de remédiation mises en œuvre depuis la violation de données à caractère personnel et sur les importants efforts de remise en conformité engagés ».

À quoi la formation restreinte « rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative », de nombreux critères précisés à l’article 83 du RGPD, de sorte qu'elle soit « effective, proportionnée et dissuasive » :

  • la nature et la gravité de la violation,
  • le nombre de personnes affectées,
  • le niveau de dommage qu’elles ont subi,
  • le fait que la violation a été commise par négligence,
  • les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées,
  • le degré de coopération avec l’autorité de contrôle et
  • les catégories de données à caractère personnel concernées par la violation.

Or, l'ensemble de ces manquements, non contents d'avoir « entraîné une violation de données à caractère personnel massive », portaient aussi et surtout sur des données de santé, « lesquelles sont des catégories particulières de données au sens de l’article 9 du RGPD (dites données "sensibles") » :

« La formation restreinte insiste, en outre, sur le caractère extrêmement dommageable de la violation pour les personnes concernées, dans la mesure où, outre des données d’état civil (civilité, nom, prénom), des coordonnées postales, électroniques et téléphoniques, des données très sensibles ont été divulguées. Le fichier objet de la violation de données à caractère personnel contient en effet des mentions relatives à l’infection au VIH, à des cancers ou des maladies génétiques, à la grossesse, aux traitements médicamenteux suivis par les patients ou encore à des données génétiques. »

La formation restreinte considère dès lors que « le manquement ayant conduit à la violation de données est d’une particulière gravité », au surplus parce que le lanceur d'alerte qu'elle avait préalablement licenciée pour « fautes graves » avait précisément cherché à remédier à ces nombreux problèmes de sécurité :

« Compte tenu de la nature des données concernées, la formation restreinte considère que la société aurait dû faire preuve d’une vigilance particulière en ce qui concerne la sécurisation de telles données, pour éviter qu’elles puissent être réutilisées par des tiers non autorisés, portant ainsi préjudice aux personnes concernées par la violation de données. Or les négligences commises en matière de sécurité ont été multiples et particulièrement graves, alors que la société traite de données sensibles et qu’elle avait d’ores et déjà été alertée sur l’existence potentielle de risques, dont certains se sont réalisés. »

Elle souligne au surplus qu’au regard de la nature des données compromises, « les personnes concernées par la violation sont des cibles de choix pour un hameçonnage ("phishing") personnalisé » :

« d’éventuels pirates disposent désormais de leur numéro de sécurité sociale, du nom de leur médecin prescripteur, de la date de leur examen, du nom du laboratoire ou encore, dans certains cas, d’informations médicales. La nature des données à caractère personnel compilées sous-tend également des risques d’usurpation d’identité, de fausses ordonnances (qui peuvent utiliser les noms des médecins), de messages de détresse factices reprenant les problèmes de santé mentionnés. »

En plus de constituer des données sensibles, ces informations ne peuvent pour certaines pas être modifiées par les personnes à qui elles sont rattachées. Si on peut mettre à jour son mot de passe ou changer d'email, ce n'est pas le cas du numéro de sécurité sociale, d'une date de naissance et d'autres d'informations médicales. 

Une amende supérieure à son résultat net

Cerise sur le gâteau, et circonstance aggravante, « la formation restreinte relève enfin que la société n’a pas pris de mesures particulières pour faire cesser la diffusion du fichier une fois qu’elle en a eu connaissance » :

« C’est la présidente de la CNIL, et non la société Dedalus Biologie, qui a fait délivrer une assignation en référé afin que soit assuré le blocage effectif du fichier litigieux. »

L’article 83 du RGPD prévoit qu’en cas de cumul de multiples violations, « comme c’est le cas en l’espèce », le montant total de l’amende « ne peut excéder le montant fixé pour la violation la plus grave ».

Du fait des manquements aux articles 28, 29 et 32 du RGPD, le montant maximum de l’amende s’élevait dès lors à « 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu ».

Ce même article prévoit pourtant que ces montants soient « doublés (20 millions, 4 % du C.A.) dans certains cas particuliers, touchant par exemple aux principes relatifs au traitement des données à caractère personnel (consentement, etc.), à la licéité, aux données sensibles, aux droits tels que la rectification, l’effacement, la limitation, l’information, aux transferts hors UE, ou encore en cas de non-respect d’une injonction ».

La société faisant état d’un chiffre d’affaires de « 18,8 millions d’euros en 2019 et de 16,3 millions d’euros en 2020, pour un résultat net s’élevant à 2 226 949 euros en 2019 et à 1 437 017 euros en 2020 », la formation restreinte, qui doit prendre en compte sa situation financière, « considère que le prononcé d’une amende de 1 500 000 euros apparaît justifié », soit plus que son résultat net 2020.

S'agissant de la publicité à donner à cette sanction, Dedalus plaidait le fait que la cyberattaque avait été largement médiatisée, « tant dans la presse papier que télévisuelle, en France et à l’étranger », et que cette médiatisation « aura des effets particulièrement néfastes pour elle, non seulement dans le cadre de son activité, mais encore sur son chiffre d’affaires ».

Des arguments qui n'ont guère convaincu la formation restreinte, qui précise que sa délibération « n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

Les questions auxquelles Dedalus n'avait pas voulu répondre

Une décision à mettre en regard des nombreuses questions que nous avions posées à Dedalus en octobre 2020 – et donc avant cette « fuite massive » – dans le cadre de notre enquête au sujet de son ex-lanceur d'alertes.

Elles visaient notamment à savoir pourquoi Dedalus avait attendu décembre 2019 pour se doter d'un RSSI, qui était au préalable en charge des questions de cybersécurité, si elle avait notifié la CNIL les violations de données que le lanceur d'alertes avait identifié, et la dernière, à savourer au vu de ce que l'on a donc découvert depuis :

« Quels sont les moyens, procédures et dispositifs mis en place par Dedalus pour vérifier que les enjeux et problèmes de cybersécurité et de protection des données personnelles sont dûment pris en compte par les (nombreuses) entreprises qu'elle acquiert (et a acquises ces dernières années) ? »

À l'époque, Dedalus n'avait pas voulu répondre à nos questions, préférant botter en touche, et nous accuser de « chercher à ternir l'image » du groupe, alors qu'il s'activait à lutter contre la pandémie de Covid :

« Dans un contexte sanitaire aussi grave, les enjeux de notre Groupe demeurent d’accompagner au mieux nos clients et, bien évidemment, de renforcer leur confiance. La place de la sécurité ne cesse de s'accroître et nous y sommes particulièrement attentifs. Nous sommes également bien entendu à l’écoute des conseils et recommandations que nous pouvons recevoir, qu’ils émanent de sources internes ou externes.

Concernant Monsieur D., les motifs de la rupture du contrat de travail n’ont pas de lien avec une situation ou un rôle de lanceur d’alerte. Lorsque nous avons décidé de mettre un terme à notre collaboration, nous avons pris cette décision sur la base de faits précis. Il s’agit d’éléments confidentiels sur lesquels nous ne pouvons échanger avec vous. Monsieur D. a saisi le Conseil de Prud’hommes, comme le droit le lui permet, et cette instance jugera en fait et en droit du bien-fondé de ce licenciement.

Nos équipes et notre entreprise ont été extrêmement mobilisées dans le cadre de la crise du COVID et il serait dommage de chercher à ternir, à partir d’un fait extrait de son contexte, l’image d’un Groupe dont la principale et unique mission est de fournir les meilleures solutions dans un domaine aussi sensible que la Santé ; environnement particulièrement encadré et certifié par différentes normes réglementaires, dans lesquelles nous évoluons depuis de nombreuses années. »

Commentaires (42)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

cheh.

votre avatar

Ils ont à peu près coché toutes les cases de ce qu’il ne faut pas faire en terme de sécurité informatique et traitement des données personnelles, chapeau bas et merci la CNIL !

votre avatar

Sait-on si les prud’hommes ont traité l’affaire?
Si ce n’est pas encore, la décision de la CNIL va dans le sens du salarié.



Sait-on si les laboratoires d’où viennent les données sont aussi inquiétés par la CNIL ou bien toute la faute a été reporté sur le prestataire informatique??

votre avatar

Malheureusement Dedalus a rachete la quasi totalité des logiciels de labo en l’espace de qlq années, je bosse dans ce milieu là depuis des années et la sécurité info n’est juste pas un sujet pour eux (mais également les autres acteurs tel que les fabricants d’automates qui font de l’informatique parce qu’ils ont pas le choix mais n’y comprennent rien)
C’est désespérant, alors oui les données sont dans des datacenter certifiés hds mais la protection de l’accès physique c’est bien le truc le moins important en matière de sécurité infos (ça a le mérite de ne plus avoir les serveurs sous le bureau du Biologiste 🙂). On installe encore en http par défaut (ouais c’est chiant la gestion des certificats), des mots de passe root qui changent jamais et qui sont les mêmes chez tous les clients, aucune mise à jour des serveurs on risquerait d’avoir un pb, etc… Etc… De l’informatique s’il y’a 2030 ans 😥

votre avatar

J’irai un poil plus loin:
Dans mon CHU, une assez grande partie des “chefs de projets” DSI ne comprennent pas l’intérêt de la sécurité informatique. Le rssi se bat contre des moulins à vent!
Oui, c’est chiant le mot de passe a changé encore parce qu’il y a eu un acces par l’extérieur par le prestataire, et faut justifier pour monter une machine virtuelle pour tester.
Bref , la sécu, c’est pas trop leur priorité. Et pourtant on est hds.

votre avatar

Vu les griefs c’est 20 a 30 % du chiffre d’affaires qui l’aurait fallu leur infliger avec un bandeau sur leur site web . Il faut un moment que les gens prennent leurs responsabilités. Évidemment il y a des risques que l’entreprise coule mais cela responsabiliserait encore plus celle-ci



@erme si c’est encore cela. C’est encore plus impardonnable

votre avatar

L’amende de 1.5 millions leur sucre leur résultat net qui était de 1.4 millions en 2020. C’est quand même assez violent pour le coup car cela engendre directement une perte financière pour l’entreprise.



Après, 20 ou 30% du CA c’est impossible en l’état actuel du droit, cf les plafonnements du RGPD qui ont été rappelés dans l’article. Il rappelle également que l’amende doit être évaluée au regard de la situation financière de l’entreprise.

votre avatar

Sans compter qu’avec un résultat net négatif pour des raisons aussi injustifiables et publiques, ça va sûrement mettre à mal directement leur capacité d’emprunter et donc d’embaucher à moyen terme.

votre avatar

En effet, donc on est quand même plus proche du coup de latte dans les bourses que de la claque sur la joue.

votre avatar

Les logiciels de santés sont une niche, compliqué à faire et compliqué à faire évoluer à cause des certifications nécessaires. Difficile pour une nouvelle entreprise de se lancer et difficile pour une ancienne de faire évoluer correctement le logiciel parce que budget pour la R&D pas si important… Si plusieurs CH ont eu des pb ces dernières années c’est pas un hasard des softs d’un autre temps, des employés mal payés donc les bon restent pas ou font pas plus que ce qu’ils sont payés, des moyens très limités, etc…
l’informatique dans la santé c’est pas la joie et maintenant que dedalus a un quasi monopole(surtout dans la bio, je sais pas trop dans les autres domaines mais ils ont racheter à tout va) je suis pas sur que ça va s’améliorer.

votre avatar

C’est triste de voir ce genre d’affaire alors qu’embaucher un consultant en conformité RGPD ne coute pas grand chose et aurait permis de faire bouger les lignes beaucoup plus vite.
En même temps, cette affaire est un avertissement aux autres entreprises qui s’en tape.

votre avatar

le pas grand choses c’est beaucoup pour des gérant de boite avec des feuille excel, lorsque tu propose qqchose pour améliorer dans la sécu ou non un peu comme le lanceur d’alerte :) :



est ce que cela rapporte ? est ce que je suis payé pour le faire ? pourquoi je dois investir la dedans si personne ne paye ?



du coup les actionnaire vont payer la cnil ET la refonte de leur logiciel :bravo:



c’est très basique dans les comité de direction, l’article du lanceur d’alerte aurait du faire réfléchir des directeur ou manager. L’intelligence n’est pas forcement nécessaire pour faire tourner une boite.

votre avatar

Mais du coup ils se bougent pour faire évoluer les choses ou ils se contentent de faire des déclarations type strartuping à la ORPEA pour dire que nan vraiment c’est pas notre faute ces le logiciel ?
L’amende pourrait-elle être renouvelée si on continue de constater des manquements/de la désinvolture comme l’indiquent plusieurs commentaires ?
Quant est-il de Monsieur D. ?
😱

votre avatar

Soriatane a dit:


Sait-on si les prud’hommes ont traité l’affaire? Si ce n’est pas encore, la décision de la CNIL va dans le sens du salarié.


Je pense que le motif du licenciement est de ne pas avoir respecté une clause de confidentialité, peu importe le bien fondé de la raison.

votre avatar

Des arguments qui n’ont guère convaincu la formation restreinte, qui précise que sa délibération « n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».


J’ai un peu du mal à voir l’effet atténuant de cette mesure qui s’applique après 2 ans.
Dans 2 ans, l’article de NextINpact (pour ne parler que de lui) sera toujours là et il fera toujours le lien Délibération CNIL SAN-2022-009 <> DEDALUS Biologie



Donc même si Legifrance fait un gros sed, le “lien” (au sens HTTP et au sens lien “logique”, dans les esprits et dans les archives publiques), ce lien persistera, non ?

votre avatar

« Au regard des incohérences subsistantes entre les données présentes sur le serveur FTP et celles ayant circulé sur Internet, les investigations combinées de Dedalus Biologie et [du prestataire, …], qui se sont achevées le 26 mars 2021, n’ont pas permis à l’époque des faits de conclure avec certitude que lesdites intrusions seraient à l’origine de la cyberattaque reportée par la presse. »



À quoi la formation restreinte rétorque qu’il ressort bien des éléments du dossier qu’ « environ 90 % des données du fichier publié étaient présentes sur le serveur FTP »



Je suis plutôt d’accord sur la non-cohérence: 90% ne donnent pas 100%, donc on ne peut conclure directement que tout vient du FTP…

votre avatar

Et comme le rappelle la CNIL, ce n’est pas le sujet. Ce qui est sanctionné, ce n’est pas la violation de données (ie la fuite) mais le non respect du RGPD, notamment par l’absence de mesures de sécurité.

votre avatar

Bah du coup je ne vois pas pourquoi elle leur répond (à côté) sur un hors sujet…

votre avatar

La CNIL est parfois efficace, bravo.
Il faut espérer que ça serve d’exemple.

votre avatar

Arguer que c’est de la faute du sous-traitant, c’est tout de même, de mon point de vue, un argument de mauvaise foi. C’est de leur responsabilité de choisir le sous-traitant et de vérifier qu’il accomplit bien sa part de contrat et notamment la conformité avec les dispositions législatives et règlementaires en vigueur.

votre avatar

Il est aussi de la responsabilité d’un éditeur & vendeur de logiciels informatiques de mentionner dans ses contrats les mentions légales RGPD, et surtout d’appliquer les mesures élémentaires de cybersécurité, ce qui ne relève pas, a contrario, du domaine de compétence d’un laboratoire de biologie…

votre avatar

Oui et donc, en l’espèce, les labos sont-ils exonérés de toute responsabilité?

votre avatar

J’ai cru comprendre que Dedalus n’est pas un labo de biologie ?

votre avatar

numerid a dit:


Arguer que c’est de la faute du sous-traitant, c’est tout de même, de mon point de vue, un argument de mauvaise foi. C’est de leur responsabilité de choisir le sous-traitant et de vérifier qu’il accomplit bien sa part de contrat et notamment la conformité avec les dispositions législatives et règlementaires en vigueur.


Non mais depuis quand on dois tester les logiciels et la sécurité :cartonrouge: c’est l’utilisateur final qui teste :mdr:

votre avatar

Merci pour l’article :)



On a eu quelques clients qui se sont fait racheté par ce groupe… j’ai eu un peu chaud quand j’ai eu vent de ces affaires car ça coïncidait avec les transferts des BDD. RAS, nos interlocuteurs étaient pas aussi irresponsable :D

votre avatar

Merci à la CNIL et que ça serve d’avertissements à d’autres, c’est du foutage de gueule complet.

votre avatar

the_frogkiller a dit:


Non mais depuis quand on dois tester les logiciels et la sécurité :cartonrouge: c’est l’utilisateur final qui teste :mdr:



Chez nous c’est le client qui beta-teste. en prod ! paske ni lui ni nous n’avons du temps à dépenser



:cap:

votre avatar

ah ouais quand même, de l’inconscience numérique pure, la faute est très lourde.



le deni de responsabilité est hallucinant.
quand M. D va reclamer le montant honoraire au prudhomme
il leur faudra budgétiser un beau petit 200k supplémentaire en plus de l’amende.

votre avatar

fabcool a dit:


ah ouais quand même, de l’inconscience numérique pure, la faute est très lourde.



le deni de responsabilité est hallucinant. quand M. D va reclamer le montant honoraire au prudhomme il leur faudra budgétiser un beau petit 200k supplémentaire en plus de l’amende.


M. M est passé par là, les dommages & intérêts qu’on peut demander aux prud’hommes sont extrêmement limités (le max qu’on peut demander et obtenir maintenant correspond à la moyenne de ce qui était donné avant)…

votre avatar

  1. sauf erreur, le max est fonction de l’ancienneté du salarié, et absolument pas d’une quelconque moyenne

  2. les barèmes ne s’appliquent pas dans tous les cas. Il y a encore de nombreux cas non soumis à barème (par ex. nullité du licenciement suite à la dénonciation d’un crime ou d’un délit). Je sais qu’il y en a beaucoup d’autres, mais je ne les ai pas en tête :chinois:

votre avatar

fdorin a dit:




  1. sauf erreur, le max est fonction de l’ancienneté du salarié, et absolument pas d’une quelconque moyenne


Le max a été déterminé en fonction de la moyenne d’avant, je confirme. Faut surtout pas que ca coûte trop cher de licencier sans cause, tout de même…





  1. les barèmes ne s’appliquent pas dans tous les cas. Il y a encore de nombreux cas non soumis à barème (par ex. nullité du licenciement suite à la dénonciation d’un crime ou d’un délit). Je sais qu’il y en a beaucoup d’autres, mais je ne les ai pas en tête :chinois:


Tu connais beaucoup de licenciements suite à dénonciation de crime ou délit, toi? :keskidit:

votre avatar

Patch a dit:


Le max a été déterminé en fonction de la moyenne d’avant, je confirme. Faut surtout pas que ca coûte trop cher de licencier sans cause, tout de même…


Les “paramètres” sont simples : nombre d’années d’ancienneté + salaire de la personne.



Que le barême en lui-même ait été plus ou moins déterminé en fonction de ce qui se fait en général n’a rien de choquant.




Tu connais beaucoup de licenciements suite à dénonciation de crime ou délit, toi? :keskidit:


Pour que je te le cite de mémoire, oui :p Maintenant, suite à une petite recherche, voici les cas (source) :




Par exception, les planchers et les plafonds ci-dessous ne s’appliquent toutefois pas dès lors que la nullité du licenciement est liée




  • à la violation d’une liberté fondamentale,

  • à un harcèlement moral ou sexuel,

  • à l’application d’une mesure discriminatoire,

  • à une action en justice du salarié sur la base des règles relatives à l’égalité professionnelle entre hommes et femmes,

  • à la dénonciation d’un crime ou d’une délit (chouette, je n’ai pas dit de bêtise !),

  • à la violation des règles sur les salariés protégés ou des règles protectrices des salariées enceintes, des salariés en congés de naissance ou d’adoption ou des salariés victimes d’un accident du travail ou d’une maladie professionnelle.


votre avatar

Ce qui m’effarait et que dans le même temps les lobbys de tout poil ont influencé les politiques pour relâcher la pression sur les entreprises y compris sensibles pour l’Etat par la limitation voir la baisse substantielle des contrôles opérés par les organismes d’Etat comme celui de la CNIL.



Toujours le même mode opératoire:
1/ Asséchement des budgets:
Plus de demandes de contrôles, évolution budgétaires qui n’est pas en rapport. L’organisme ne peut pas répondre correctement à la demande.



2/ La solution vient alors d’un constat: l’organisme n’est pas en mesure d’assurée ses missions, il faut recourir au secteur privé, donc une externalisation des services:




La CNIL va consacrer une partie de son budget (500 000 euros) pour externaliser une partie des plaintes qu’elle reçoit.


(source: https://www.nextinpact.com/article/49930/la-cnil-va-externaliser-gestion-tiers-ses-saisines)



La représentation nationale me parait de plus en plus inopérante sur la nécessité de conserver une expertise et une connaissance au sein même de l’Etat pour ne pas avoir à recourir systématiquement à des tiers dont les intérêts sont même parfois divergents avec ceux de la Nation et de ses citoyens.



L’Etat qui se désengage de ses missions, c’est un Etat qui s’affaiblit sur le temps long.
Plus de transparence sur la façon sont les budgets sont débattus, décidés, alloués et votés me parait être urgent.

votre avatar

fdorin a dit:


Les “paramètres” sont simples : nombre d’années d’ancienneté + salaire de la personne.



Que le barême en lui-même ait été plus ou moins déterminé en fonction de ce qui se fait en général n’a rien de choquant.


Pas en fonction de ce qui se fait. En fonction de la moyenne. Donc coût moindre pour les employeurs, qui peuvent s’en donner plus facilement à coeur joie, vu qu’ils savent déjà que même dans le pire des cas, les bénéfs seront à peine touchés.
Bon après si tu trouves parfaitement normal de te faire dégager sans aucune raison valable et de n’avoir aucune compensation derrière (ou juste une merde pour dire que)…




Pour que je te le cite de mémoire, oui :p Maintenant, suite à une petite recherche, voici les cas (source) :


Ce qui n’est pas le cas de l’énorme majorité des licenciements sans cause réelle et sérieuse, donc. Merci de la confirmation :chinois:

votre avatar

Cetera a dit:


L’Etat qui se désengage de ses missions, c’est un Etat qui s’affaiblit sur le temps long. Plus de transparence sur la façon sont les budgets sont débattus, décidés, alloués et votés me parait être urgent.


Mais comment on fait pour continuer le népotisme dans ce cas? :keskidit:

votre avatar

Il est vrai que cela ne peut fonctionner sans changement de de constitution et donc de fondation d’une République qui donne plus de rôles et de sens dans les politiques publiques aux citoyens.



Personnellement, j’étais très intéressé par le travail de Montebourg en 2005 (voir son ouvrage: “La Constitution de la 6e République: Réconcilier les Français avec la démocratie”) qui aborde assez clairement et je crois justement cet aspect essentiel de la chose publique.



Bien sûr, depuis 2005, il y a des aspects complémentaires à mettre à jour.

votre avatar

Patch a dit:


Pas en fonction de ce qui se fait. En fonction de la moyenne.


Et la moyenne est calculée comment ? En fonction de ce qui se fait… (enfin faisait en l’occurence)




Donc coût moindre pour les employeurs, qui peuvent s’en donner plus facilement à coeur joie,


Moindre non, car c’est en fonction de la moyenne comme tu le prétends. Moindre dans certaines situations peut être, et plus dans d’autres. La mise en place des barêmes a eu un effet “uniformisant”




vu qu’ils savent déjà que même dans le pire des cas, les bénéfs seront à peine touchés.


Là, tu dois avoir en tête les grosses entreprises. Car pour les TPE/PME (la très grande majorité des entreprises en France, rappelons le), c’est bien loin d’être le cas (et encore faut-il qu’il y ait des bénéfices).




Bon après si tu trouves parfaitement normal de te faire dégager sans aucune raison valable et de n’avoir aucune compensation derrière (ou juste une merde pour dire que)…


Où ai-je écrit cela ? Arrête d’interpréter dans tous les sens stp.




Ce qui n’est pas le cas de l’énorme majorité des licenciements sans cause réelle et sérieuse, donc. Merci de la confirmation :chinois:


source ?

votre avatar

fdorin a dit:


Et la moyenne est calculée comment ?


Voilà comment on calcule une moyenne, que tu ne sembles pas savoir : https://www.brevetdescolleges.fr/articles/outils/comment-calculer-moyenne/




En fonction de ce qui se fait… (enfin faisait en l’occurence)


Je ne suis pas sûr que tu aies compris toi-même ce que tu voulais dire…




Moindre non, car c’est en fonction de la moyenne comme tu le prétends. Moindre dans certaines situations peut être, et plus dans d’autres. La mise en place des barêmes a eu un effet “uniformisant”


C’est quoi que tu ne comprends pas dans “maximum de l’ancienne moyenne”, exactement?




Là, tu dois avoir en tête les grosses entreprises. Car pour les TPE/PME (la très grande majorité des entreprises en France, rappelons le), c’est bien loin d’être le cas (et encore faut-il qu’il y ait des bénéfices).


Je n’ai pas vu beaucoup de TPE/PME s’amuser à dégager qqu’un sans cause réelle et sérieuse…




Où ai-je écrit cela ? Arrête d’interpréter dans tous les sens stp.


Simple : sur tous tes commentaires ici, tu trouves parfaitement normal de limiter fortement ce que peuvent donner les prud’hommes.




source ?


Source du contraire, vu qu’à la base c’est toi qui affirmais que c’était énormément voire une majorité? Et surtout, quel intérêt pour Jupiter d’avoir limité un coût s’il ne touche au final qu’une maigre proportion des licenciements attaquables, vu que ca ne rapporterait que des clopinettes à ses copains?

votre avatar

Patch a dit:


Voilà comment on calcule une moyenne, que tu ne sembles pas savoir : https://www.brevetdescolleges.fr/articles/outils/comment-calculer-moyenne/


Merci de prendre les gens pour des imbéciles. Pour calculer une moyenne, il faut des chiffres. Ces chiffres, se sont les cas réel. Ce qui se fait (et ce qui semble tellement te déranger).




Je ne suis pas sûr que tu aies compris toi-même ce que tu voulais dire…


Comprendre avant la mise en place des barêmes.




C’est quoi que tu ne comprends pas dans “maximum de l’ancienne moyenne”, exactement?


Et si tu prenais le temps de lire, et surtout de comprendre ce que les autres écrivent ?




Je n’ai pas vu beaucoup de TPE/PME s’amuser à dégager qqu’un sans cause réelle et sérieuse…


Je vais t’apprendre un truc sur les licenciements sans cause réelle et sérieuse. Cela ne désigne pas se séparer d’un salarié juste sur un coup de tête parce qu’on en a envie. Licencier un salarié nécessite un motif (c’est obligatoire). Maintenant, si le motif n’est pas assez précis ou ne requiert pas obligatoirement un licenciement, les prudhommes peuvent requalifier le licenciement en un licenciement sans cause réelle et sérieuse.



Bref, c’est soumis à interprétation, donc très subjectif. Et dans les TPE/PME, il y en a.




Simple : sur tous tes commentaires ici, tu trouves parfaitement normal de limiter fortement ce que peuvent donner les prud’hommes.


Donc, tu passes d’un “Que le barême en lui-même ait été plus ou moins déterminé en fonction de ce qui se fait en général n’a rien de choquant.” à “Bon après si tu trouves parfaitement normal de te faire dégager sans aucune raison valable et de n’avoir aucune compensation derrière”



Et tu as le culot de me dire que tu n’interprètes pas ???




Source du contraire, vu qu’à la base c’est toi qui affirmais que c’était énormément voire une majorité?


Mes sources, je les ai déjà donné, n’inverse pas.




Et surtout, quel intérêt pour Jupiter d’avoir limité un coût s’il ne touche au final qu’une maigre proportion des licenciements attaquables, vu que ca ne rapporterait que des clopinettes à ses copains?


Voilà, tout est dit. De toute façon, avec un tel discours, un patron est forcément un salaud qui veut abuser de ses employés et les virer sans rien payer, et les salariés sont tous des gentils agneaux.



Bref, discussion impossible dans ce contexte. Bon week-end à toi, et bonjour le blocage :)

votre avatar

fdorin a dit:


Les “paramètres” sont simples : nombre d’années d’ancienneté + salaire de la personne.



Que le barême en lui-même ait été plus ou moins déterminé en fonction de ce qui se fait en général n’a rien de choquant.


Tu admettras que le max du barème fixé à la moyenne de ce qui se faisait avant, c’est un peu du foutage de gueule, non ?

votre avatar

Mihashi a dit:


Tu admettras que le max du barème fixé à la moyenne de ce qui se faisait avant, c’est un peu du foutage de gueule, non ?


Je serais d’accord si c’était effectivement le cas. Sauf que cela ne veut rien dire. Tout d’abord, car il y a plusieurs barèmes (2 pour être précis, en fonction de la taille de l’entreprise).



Ensuite, comme il s’agit d’un barème, il dépend de variables : l’ancienneté, et le salaire. Le barème est simple : pour X années, le max c’est Y mois de salaire, avec une correspondance quasi-linéaire entre les deux jusqu’à 10-15 ans d’ancienneté.



Si on prend l’affirmation (qui reste encore à prouver) que le max du barème est fixé à la moyenne de ce qui se faisait avant, alors, on a :





C’est factuel et vérifiable. Note bien que je ne dis pas que je suis pour ou que je suis contre. Je ne fais que vérifier les informations. On m’a dit que le max des barèmes étaient calculés sur la moyenne avant. Ben non.



Si on creuse encore plus, on voit bien qu’il y a de grosses différences entre un salarié avec peu d’ancienneté et beaucoup d’ancienneté, et que même en essayant d’appliquer l’affirmation du calcul du max basé sur la moyenne pour chaque tranche du barème (et non plus sur le barème entier), cela ne tient pas.



Voilà, j’ai juste fait un travail de vérification. Le barème est loin d’être parfait, il présente de nombreux inconvénients à mes yeux. Mais il est là et il faut faire avec. Affirmer des choses fausses, sans source ni argumentation pour dézinguer un truc “injuste” ne rend pas les choses vrais pour autant, bien au contraire.

votre avatar

Pourquoi la CNIL a condamné Dedalus à une sanction de 1,5 million d’euros

  • En 2020, Dedalus n'avait pas encore intégré le RGPD

  • Dedalus a cherché à reporter la faute à son logiciel

  • De nombreux manquements en matière de sécurité 

  • Plusieurs mesures de sécurité élémentaires faisaient défaut 

  • Des manquements d’une particulière gravité

  • Une amende supérieure à son résultat net

  • Les questions auxquelles Dedalus n'avait pas voulu répondre

Fermer