MOTS CLEFS : fuite de données personnelles – données sensibles – conformité au RGPD – responsabilité du sous-traitant – données médicales – sécurisation des traitements de données – CNIL

En février 2021, divers journaux révèlent au grand public que les données médicales personnelles de près de 500 000 personnes ont été dérobées à des laboratoire d’analyses médicales et sont librement disponibles en ligne. Cette affaire éclabousse alors la réputation de la société responsable de cette fuite de données : « DEDALUS BIOLOGIE », une entreprise commercialisant des logiciels à destination des laboratoires médicaux afin de faciliter le traitement de données informatiques à caractère médical. L’enquête de la CNIL suivant cette brèche de sécurité massive conduira à trouver cette société sous-traitante coupable de plusieurs manquements aux obligations du RGPD et à être à ce titre sanctionnée par une amende administrative conséquente de 1 500 000 euros et à la publicité de cette décision nommant explicitement la société défenderesse pendant 2 ans à compter de sa publication le 15 avril 2022.

L’infliction d’une sanction aussi sévère pour des faits analogues n’avait encore jamais été constatée de la part de la CNIL, signe qu’elle cherche à envoyer un signal fort aux entreprises potentiellement concernées qui pouvaient penser par le passé que le montant maximum des sanctions administratives pouvant être infligées par la CNIL ne nécessitait pas de faire preuve d’un grand empressement dans la mise en conformité avec les normes du RGPD.