La Cnil a sanctionné un prestataire dont les manquements ont occasionné la fuite de données personnelles de santé de près de 500 000 personnes. Voici les erreurs commises… à ne pas reproduire !
Fuites de données personnelles de santé : la Cnil sévit !
Une fuite de données personnelles de santé massive a eu lieu sur le Web : près de 500 000 personnes ont vu leur nom, prénoms, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen, etc. publiés.
La Cnil (Commission nationale de l’informatique et des libertés) a alors mené son enquête, qui a abouti au prononcé d’une amende de 1,5 M€ après constatation des manquements suivants :
- manquement à l’obligation d’assurer la sécurité des données personnelles dans le cadre des opérations de migration d’un logiciel vers un autre :
- ○ absence de procédure spécifique pour les opérations de migration de données ;
- ○ absence de chiffrement des données personnelles stockées sur le serveur problématique ;
- ○ absence d’effacement automatique des données après migration vers l’autre logiciel ;
- ○ absence d’authentification requise depuis internet pour accéder à la zone publique du serveur ;
- ○ utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur ;
- ○ absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur ;
- manquement à l’obligation, pour le sous-traitant, de respecter les instructions du responsable de traitement : la société a extrait un volume de données plus important que celui requis ;
- manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement : les conditions générales de vente et les contrats de maintenance ne contenaient pas les mentions requises.