Scroll Top
Affaire DÉDALUS : Indulgence pour les responsables de traitement
Actualités Actualités du moment Céline Cadoret Clinique CNIL Délibération Données de santé ESPIC Établissement de santé privé Etablissement public de santé Industriels Laboratoires Pharmacies d'officine Professionnels Libéraux Professionnels paramédicaux Responsable de traitement Sous-traitant Vie privée
Partager l'article



*




Affaire Dédalus : indulgence pour les responsables de traitement ?

Article rédigé le 2 mai 2022 par Céline Cadoret

 

Largement relayée, la récente délibération n°SAN-2022-009 du 15 avril 2022 de la formation restreinte de la CNIL prononçant une amende de 1,5 millions d’euros à l’encontre de la société DEDALUS BIOLOGIE (éditeur notoire de solutions logicielles à destination de laboratoires d’analyses médicales) au titre de plusieurs manquements au RGPD, illustre le nouveau rapport de force entre un responsable de traitement et un sous-traitant.

 

SOMMAIRE
1 Le nouveau paradigme du RGPD : une responsabilité propre du sous-traitant
1.1 Une responsabilité pour avoir agi en dehors des instructions du responsable de traitement
1.2 Une responsabilité pour manquement à l’obligation de sécurité
2 Une réelle indulgence à l’égard des responsables de traitement ?
2.1 L’encadrement contractuel : une nouvelle responsabilité du sous-traitant ?
2.2 Vers une exonération totale des responsables de traitement ?

 

En février 2021, le journal Libération a publié un article de presse intitulé « Les informations confidentielles de 500 000 patients dérobées à des laboratoires et diffusées en ligne ». Un fichier Excel contenant de nombreuses données sensibles a en effet été rendu accessible sur un forum en ligne.

Une fuite qui s’avère majeure tant au regard de la quantité des données (environ 500 000 personnes concernées) que des catégories de données concernées (informations relatives à l’état de santé, à des pathologies (VIH, cancers…), à l’état de grossesse, aux traitements médicamenteux suivis, aux mots de passe et identifiants).

Particulièrement intéressante, cette décision de la CNIL vise à rechercher en priorité la responsabilité propre d’un sous-traitant, éditeur de logiciels, agissant pour le compte de deux laboratoires d’analyses de biologie médicale, responsables de traitement. Pour autant, cette décision est-elle une réelle indulgence de la part de l’autorité de contrôle ? Décryptage.

 

Le nouveau paradigme du RGPD : une responsabilité propre du sous-traitant

Avant l’entrée en vigueur du RGPD, la responsabilité pour manquement aux obligations prévues dans la loi Informatique et Libertés incombait uniquement aux responsables de traitement qui devaient veiller, y compris lorsque des traitements étaient réalisés par un sous-traitant, au respect des dispositions contenues dans cette loi et notamment, à prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données à caractère personnel.

On se souviendra par exemple de la décision du Conseil d’Etat du 30 décembre 2015 à l’encontre de la société Orange, qui avait estimé que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données, (…) dès lors que ces sous-traitants agissent (…) sur instruction du responsable de traitement ».

En revanche, depuis l’entrée en vigueur du RGPD, un nouveau paradigme s’est installé puisque désormais, la responsabilité propre du sous-traitant peut être recherchée, et particulièrement pour les sous-traitants d’un établissement du secteur sanitaire ou médicosocial.

En effet, cette délibération à l’encontre de la société DEDALUS BIOLOGIE s’inscrit dans le sillage de la décision MED-2021-093 du 4 octobre 2021, pour laquelle la CNIL avait mis en demeure la société Francetest proposant un service de formulaire en ligne aux officines de pharmacie qui effectuent des tests antigéniques au SRAS-CoV2, de prendre toute mesure à la suite d’une faille de sécurité entrainant une fuite de données concernant environ 400 000 personnes, mais non les officines de pharmacie qui y faisaient appel. 

En mettant à disposition des logiciels aux laboratoires concernés par la fuite de données, la société DEDALUS BIOLOGIE agit elle aussi en qualité de sous-traitant. Plusieurs manquements ont ainsi été relevés à son encontre.

 

Une responsabilité pour avoir agi en dehors des instructions du responsable de traitement

 

Une nouveauté ressort de cette décision puisque le manquement à l’article 29 du RGPD ne nous semble pas avoir été auparavant cité. Cet article prévoit en effet que « Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement (…) ».

Cette citation est une illustration parfaite de ce nouveau paradigme. Pourquoi ? En l’espèce, c’est dans le cadre d’une migration de données vers une nouvelle solution logicielle que la fuite de données s’est produite. La formation restreinte de la CNIL relève que la société DEDALUS BIOLOGIE a extrait un nombre de champs plus élevés que ceux qui étaient demandés par les deux laboratoires lors de la migration (et dont notamment de nombreuses données très sensibles ont été migrées).

 

Par ces motifs, la CNIL considère que la société a manqué aux dispositions de l’article 29 du RGPD pour deux raisons :

    • Les deux laboratoires en leur qualité de responsables de traitement ne pouvaient pas valider réellement les extractions réalisées par la société ;
    • La société aurait pu utiliser un outil de migration adapté permettant de pouvoir sélectionner les données qui étaient à extraire, et non en migrer la totalité.

 

Ainsi, aucune obligation de vérifier la bonne exécution des opérations de migration ne semble avoir été retenue à l’encontre des deux laboratoires.

 

Une responsabilité pour manquement à l’obligation de sécurité

 

Un ancien employé de la société DEDALUS BIOLOGIE mais également l’ANSSI, avaient déjà relevé en 2020 des failles de sécurité et notamment sur le serveur FTP permettant la migration de données de la société DEDALUS BIOLOGIE. Aucune procédure de migration, aucune mesure de sécurité pour l’envoi de données n’avaient été prévues lors des opérations de migration en 2021, ni des investigations sur le système d’information ou encore des tests d’intrusion.

Par ailleurs, la CNIL relève que la société DEDALUS n’a pas pris directement des mesures pour limiter les risques liés à la fuite, et notamment de demander le blocage aux différents fournisseurs d’accès à internet (FAI) de l’accès au fichier litigieux, ce qui a fait l’objet d’une assignation en référé d’heure à heure par la CNIL en mars 2021.

Pour ces raisons, la formation restreinte de la CNIL relève que la société DEDALUS a méconnu son obligation de sécurité des données à caractère personnel, prévue à l’article 32 du RGPD et qui incombe aussi bien à un responsable de traitement qu’à un sous-traitant.

Là encore, le fait de sanctionner uniquement la société DEDALUS BIOLOGIE et non les laboratoires montre bien ce nouveau rapport de responsabilité à l’égard du sous-traitant. En effet, si nous reprenons la décision du Conseil d’Etat à l’encontre d’Orange susvisée, il avait été considéré que « la seule mention, dans le contrat liant la société Orange à son prestataire, la société Gutenberg, d’une obligation de sécurité mise à la charge de cette dernière et de ses sous-traitants ne dispensait pas la société Orange de prendre des mesures destinées à s’assurer elle-même que la sécurité de ses données était préservée ».

Si cette délibération ne visait que la société DEDALUS BIOLOGIE au sujet des manquements et non les deux laboratoires responsables de traitement qui ont d’ailleurs fait l’objet d’une anonymisation, sont-ils pour autant à l’abri de toute sanction ? C’est ce que nous allons voir dans une seconde partie.

 

Une réelle indulgence à l’égard des responsables de traitement ?

De manière plus surprenante, la responsabilité propre de la société DEDALUS BIOLOGIE a été retenue pour manquements à l’obligation d’encadrer par un acte juridique les traitements réalisés par le sous-traitant prévue à l’article 28 du RGPD, obligation pourtant portée généralement par les responsables de traitement. Cela signifie-t-il pour autant que les responsables de traitement seraient totalement exonérés ? Pas forcément.

 

L’encadrement contractuel : une nouvelle responsabilité du sous-traitant ?

 

Pour rappel, conformément à l’article 28 paragraphe 3 du RGPD, « Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique (…) qui lie le sous-traitant à l’égard du responsable du traitement (…) ». Le considérant 81 du RGPD prévoit que « le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement ».

En l’espèce, la société DEDALUS BIOLOGIE avait transmis à ses clients des conditions générales de vente (CGV) contenant des clauses relatives à la protection des données à caractère personnel qui, après examen des agents de la CNIL, ne répondaient pas aux exigences de l’article 28 du RGPD et visaient des dispositions obsolètes de la loi Informatique et Libertés. Ces mentions ne figuraient pas non plus dans les contrats de maintenance. Pour autant, la formation restreinte de la CNIL a relevé que « le fait que l’obligation résultant de l’article 28, paragraphe 3, du RGPD incombe tant au responsable de traitement qu’au sous-traitant est sans incidence sur l’existence d’une responsabilité propre du sous-traitant ».

Si cette décision rappelle tout d’abord l’importance de conclure des contrats de sous-traitance conformes aux dispositions de l’article 28 du RGPD, elle témoigne surtout que cette obligation alors portée par les responsables de traitement d’après les dispositions du RGPD, ne pèserait pas forcément uniquement sur ces derniers mais également sur les sous-traitants. Or, en vertu des dispositions de l’article 82 du RGPD, il est prévu que les sous-traitants ne sont responsables qu’en cas de non-respect des obligations prévues dans ce règlement qui leur incombent spécifiquement.

Cette décision laisserait-elle dès lors présumer que la responsabilité d’encadrer par un acte juridique les traitements réalisés par le sous-traitant pèserait finalement sur la partie qui les transmet ? Des précisions mériteraient d’être attendues sur ce point.

Un appel à une vigilance des prestataires semble être lancé au sujet des conditions générales de vente (CGV) qu’ils transmettent, sans que ces dernières ne contiennent de véritables garanties en termes de protection des données à caractère personnel.

 

Vers une exonération totale des responsables de traitement ?

 

Il ressort de cette décision que la CNIL semble assez indulgente à l’égard des deux responsables de traitement concernés par la fuite de données, d’autant plus que les sanctions de la CNIL ont une fonction punitive et non indemnitaire. Dès lors, la société DEDALUS BIOLOGIE ne pourra se retourner contre les deux laboratoires pour le paiement de l’amende de 1,5 millions d’euros et ce, quelque soit les clauses limitatives de responsabilité éventuellement prévues dans les contrats.

Il ne faut toutefois pas oublier que selon l’article 82 du RGPD, « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » et qu’un mécanisme de responsabilité in solidum est prévu au sein de cet article au bénéfice des personnes concernées : « (..) lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective ».

Ainsi, la société DEDALUS BIOLOGIE, mais aussi les deux responsables de traitement compte tenu du mécanisme de responsabilité in solidum, ne sont pas à l’abri d’une éventuelle plainte de personnes concernées ou encore d’une action de groupe (class action) pour atteinte aux données à caractère personnel, telle que celle qui avait été mise en œuvre au Royaume-Uni à l’encontre de la société Easyjet après la survenance d’une cyberattaque.

Par ailleurs, la délibération de la CNIL précise que : « Les deux laboratoires ayant été concernés par la violation de données susvisée, il s’agissait de vérifier le respect par ces deux sociétés des dispositions de la loi Informatique et Libertés et du RGPD ». Ces derniers ont en effet fait l’objet d’un contrôle sur place par la CNIL, ce qui pourrait présager une éventuelle future décision à leur encontre, qui pourrait porter notamment sur d’autres points que l’aspect sécurité ou contractuel, à savoir :

    • l’absence de notification de violation de données à caractère personnel à la CNIL et éventuellement à l’Agence Régionale de Santé (ARS) compétente (article L.1111-8-2 du CSP);
    • les obligations liées à la réalisation d’audits et de sélection des sous-traitants présentant des mesures techniques et organisationnelles suffisantes ;
    • l’absence d’une analyse d’impact sur la protection des données (AIPD).

 

Affaire à suivre donc…

 

Cette décision de la CNIL illustre ainsi les conclusions du rapport public de l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé de 2021, « l’augmentation du nombre d’incidents ayant une origine non malveillante est principalement lié à des sinistres majeurs rencontrés par des hébergeurs ou prestataires de solutions métier en mode SaaS ».

Pour préserver ces éventuels incidents provenant des prestataires et qui peuvent avoir des conséquences dramatiques pour les personnes concernées (tant sur le plan de leur vie privée, d’usurpation de leur identité ou de leurs identifiants et mots de passe), la sélection des sous-traitants, la réalisation d’audits et les éventuelles garanties contractuelles qui doivent être prises à leur encontre s’avèrent cruciales.

Ces garanties sont d’autant plus importantes dans le cadre de la commande publique et de la passation par des centrales d’achat, qui n’est pas sans risque pour la sécurisation et la bonne exécution des prestations informatiques objet de ces marchés. Nous publierons prochainement un article à ce sujet.

 

Céline Cadoret
Céline Cadoret

Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.

Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.

Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :

La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).