La CNIL a infligé une amende de 1,5 million d'euros à DEDALUS BIOLOGIE. DEDALUS distribue des solutions logicielles pour les laboratoires d'analyses médicales. En février, la presse avait révélé une fuite de données chez DEDALUS ayant entraîné la fuite de données de près de 500 000 personnes. Les données divulguées comprenaient des informations sur les noms, prénoms, numéro de sécurité sociale, nom du médecin traitant, données sur les examens médicaux et maladies des personnes concernées. Au cours de son enquête, la CNIL a constaté plusieurs violations du RGPD. Notamment, DEDALUS avait violé l'art. 29 du RGPD en extrayant plus de données que nécessaire dans le cadre du traitement pour le compte de deux laboratoires. En outre, la CNIL a constaté que DEDALUS n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles. Cela constitue une violation de l'art. 32 du RGPD. Par exemple, aucune procédure spécifique pour les opérations de migration des données n'avait été mise en œuvre. De plus, les données divulguées n'avaient pas été stockées sous forme cryptée sur le serveur. En outre, l’APD a constaté que DEDALUS manquait d’authentification pour accéder à la zone publique du serveur. L’absence de telles mesures de sécurité a été l’une des principales causes de la fuite de données. En outre, l’APD a constaté que les documents contractuels entre DEDALUS et ses clients n’étaient pas conformes aux exigences énoncées à l’art. 28 du RGPD. L’APD a pris en considération comme circonstance aggravante la gravité des violations commises, en particulier les atteintes à la sécurité, ainsi que le grand nombre de personnes concernées, lors de l’imposition de l’amende.