NOUVELLE SANCTION DE LA CNIL
Par une délibération du 15 avril 2022, la CNIL a prononcé une sanction de 1 500 000 euros à l’encontre d’une société commercialisant des solutions logicielles pour des laboratoires d’analyses médicales.
La CNIL a retenu « de nombreux manquements techniques et organisationnels en matière de sécurité » dont :
• l’absence de procédure spécifique s’agissant des opérations de migration de données
• l’absence de chiffrement des données à caractère personnel stockées
• l’absence d’effacement automatique des données après migration
• l’absence d’authentification requise depuis Internet pour accéder à la zone publique d’un serveur
• l’utilisation de comptes utilisateurs partagés entre plusieurs salariés
• l’absence de procédure de supervision et de remontée d’alertes de sécurité
La CNIL a également retenu des manquements aux obligations d’encadrer les traitements effectués par un sous-traitant par un acte juridique formalisé et de ne traiter les données que sur instruction du responsable de traitement.
