Editeurs de solutions logicielles : pensez au RGPD !

La société Dedalus Biologie manque à plusieurs obligations au titre du RGPD, ce qui lui coute 1,5 million d’euros !
La société Dedalus Biologie édite et commercialise une plateforme logicielle à destination de laboratoires d’analyses médicales et fournit des services d’installation, d’intégration et de maintenance.
Elle est qualifiée de « sous-traitant » au sens du RGPD.
Responsable de la fuite de données médicales de près de 500 000 personnes en 2021, plusieurs manquements au RGPD sont reprochés à Dedalus Biologie.

1. Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement.

L’article 28.3, du RGPD prévoit que :

« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant :
a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
c) prend toutes les mesures requises en vertu de l’article 32 ;
d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant ; […]
 ».

Dedalus Biologie n’a pas signé le contrat rendu obligatoire au titre de l’article 28 du RGPD. Ce contrat est encore nommé le « DPA » (Data Processing Agreement).

2. Manquement à l’obligation pour le sous-traitant de ne traiter les données à caractère personnel que sur instruction du responsable de traitement.

« Dedalus Biologie a extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients, les laboratoires […] et […]. Le rapporteur en conclut que la société Dedalus Biologie a traité des données au-delà des instructions données par les responsables de traitement, ce qui constitue un manquement à l’article 29 du RGPD ».

3. Manquement à l’obligation d’assurer la sécurité des données.

L’article 32 du RGPD prévoit que :

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
 ».

La Sanction.

Pour déterminer le montant de l’amende administrative la CNIL doit prendre en compte les critères de l’article 83 du RGPD, tels que la nature et la gravité de la violation, le nombre de personnes affectées et le niveau de dommage qu’elles ont subi, le fait que la violation a été commise par négligence, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.

Compte tenu de tous ces critères, en particulier le fait que les nombreux défauts de sécurité sont la cause d’une divulgation massive de données à caractère personnel (prés de 500 000 personnes concernées) avec des répercussions graves pour les personnes concernées compte tenu de la nature des données, la CNIL va sanctionner l’éditeur à une amende de 1,5 millions d’euro ainsi que la publicité de sa décision.

Ce qu’il faut retenir.

Editeurs de solutions logicielles :
- intégrez un contrat de gestion des données personnelles conforme à l’art. 28 du RGPD dans vos CGV
- respectez les instructions de vos clients en matière de traitement de données.

La société Dedalus Biologie a été sanctionnée pour les manquements en matière de sécurité suivants, soyez vigilants sur les normes de sécurité appliquées à vos plateformes :
- absence de procédure spécifique pour les opérations de migration de données ;
- absence de chiffrement des données personnelles stockées sur le serveur problématique ;
- absence d’effacement automatique des données après migration vers l’autre logiciel ;
- absence d’authentification requise depuis internet pour accéder à la zone publique du serveur ;
- utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ;
- absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

Claudia Weber, avocat associé fondateur Itlaw Avocats
Itlaw Avocats - www.itlaw.fr

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 149 330 membres, 23356 articles, 126 587 messages sur les forums, 4 430 annonces d'emploi et stage... et 2 000 000 de visites du site par mois en moyenne. *


FOCUS SUR >

Pourquoi publier sur Le Village de la Justice ?

A LIRE AUSSI >

[Dernières tendances de l'emploi dans le Droit] +78% d'annonces d'emploi et stages au 1er semestre 2022 !




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs