Pourquoi la CNIL a condamné Dedalus à une sanction de 1,5 million d’euros

La formation restreinte de la CNIL a infligé une amende de 1,5 million d'euros à Dedalus Biologie, « notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes », et décidé de rendre publique sa décision, particulièrement accablante.

L'affaire remonte au 23 février 2021, lorsque Libération révélait que « Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne » :

« Selon les spécialistes, la fuite est d’une ampleur inédite en France pour des données ayant trait à la santé. Le fichier en question, que "CheckNews" a pu consulter, contient l’identité complète de près d’un demi-million de Français, souvent accompagnée de données critiques, comme des informations sur leur état de santé ou même leur mot de passe. Initialement partagée sur des forums de pirates informatiques, cette base de données est de plus en plus largement diffusée. »

Nous l'avions à l'époque analysée, et découvert qu'y figuraient plus précisément 489 838 numéros de sécurité sociale (ou NIR) et 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d'« enfant », 425 de « bébé » et 265 de « sœur », 270 569 numéros de téléphone fixe et 159 591 portables, 55 738 adresses email uniques de patients et 337 de médecins, et 14 997 mots de passe, le tout « en clair ».

• Ce que révèle le fichier des 500 000 patients qui a fuité

La délibération de la CNIL précise que « les données à caractère personnel de 491 840 patients y figuraient, parmi lesquelles » :

• des données d’identification : numéro de sécurité sociale, nom, prénoms, sexe, adresse postale, numéro de téléphone, adresse électronique, date de la dernière visite médicale, date de naissance ;
• deux colonnes de commentaires libres contenant notamment des informations relatives aux pathologies des patients (VIH, cancers, maladies génétiques), à l’état de grossesse, aux traitements médicamenteux suivis par le patient ou encore des données génétiques ;
• des données d’identification du médecin prescripteur : nom, prénom, adresse postale, numéro de téléphone, adresse électronique ;
• des données relatives au préleveur : nom, prénom, adresse, numéro de téléphone ;
• des données relatives à la mutuelle du patient : "Id tiers payant" (suite de chiffres), adresse postale, numéro de téléphone ;
• une colonne "Identifiant SR" et une colonne "MP", correspondant, au regard de son contenu, aux identifiants et mots de passe utilisés par le patient pour se connecter à son espace.

Dès le 24 février, la CNIL procédait à « plusieurs contrôles, notamment auprès de la société Dedalus Biologie qui commercialise des solutions logicielles pour des laboratoires d’analyse médicale » et d'où semblaient émaner les données. Était également contrôlé Dedalus France, sa maison mère, « qui emploie environ neuf cents personnes et qui est composé, en France, de cinq sociétés ».

Cette précision est importante parce que nous avions révélé, un an auparavant, que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait précisément prévenu les autorités sur les nombreux problèmes de sécurité non traités par Dedalus.

Il avait entre autres découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ». Précédent qui a pesé dans l'établissement conséquent de l'amende infligée à Dedalus. Nous y reviendrons.

• Un « leader européen » des données de santé licencie un lanceur d'alerte pour « faute grave »

« En parallèle, le 1er mars 2021 », la CNIL faisait « délivrer une assignation en référé d’heure à heure aux différents fournisseurs d’accès à Internet, afin que soit assuré le blocage effectif du fichier contenant les données de près de 500 000 patients ».

Nous avions néanmoins réussi à le télécharger sur RaidForums, qui était à l'époque le plus gros forum de reventes de fuites de données. Il a depuis été saisi par les autorités et son administrateur de 21 ans incarcéré en Grande-Bretagne, en attendant une éventuelle extradition aux États-Unis, où le FBI vient de l'inculper pour de toutes autres affaires.

• L'AdminSys de RaidForums identifié « à l'insu de son plein gré »

« On peut retrouver ce fichier à 7 endroits différents sur internet », avait en effet expliqué Damien Bancal, journaliste spécialiste de la cybersécurité, qui avait le premier identifié la fuite le 14 février sur son site Zataz.

En 2020, Dedalus n'avait pas encore intégré le RGPD

« Environ trois mille laboratoires de Biologie médicale privés et entre trente et cinquante laboratoires d’analyses d’établissements publics de santé » utilisent les solutions de gestion de laboratoire de Dedalus Biologie, précise la délibération.

La formation restreinte estime dès lors que « Dedalus Biologie agit en qualité de sous-traitant des traitements mis en œuvre pour le compte de ses clients, les laboratoires, qui sont responsables de traitement, [...] et qu’elle agit, de manière générale, uniquement sur la base de leurs instructions ».

Elle ne lui fait pas moins grief de plusieurs manquements au RGPD, à commencer par son « obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement » :

« Aux termes de l’article 28, paragraphe 3, du RGPD, "Le traitement par un sous-traitant est régi par un contrat [...] qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement". »

Or, constate le rapporteur, François Pellegrini, « il ressort des éléments transmis par la société Dedalus Biologie que les différents documents encadrant les relations contractuelles entre la société sous-traitante et les laboratoires ne comportent pas les mentions requises par l’article 28 du RGPD » :

« Il relève que les conditions générales de vente proposées par Dedalus Biologie au moment où les laboratoires acceptent sa prestation ne comportent aucune des mentions requises par cet article. De même, il note que les mentions requises ne figurent pas non plus dans les contrats de maintenance conclus entre la société et les laboratoires, tels que transmis à la CNIL. »

En défense, Dedalus Biologie « ne conteste pas la matérialité du manquement », mais argue du fait que « la conclusion d’un contrat de sous-traitance constitue une obligation tant pour le responsable de traitement que pour le sous-traitant », et qu'elle « ne saurait être tenue seule responsable de ce manquement ».

À quoi la formation restreinte rétorque trois arguments :

1. « c’est la société elle-même qui transmet aux laboratoires ses propres conditions générales de vente qui font office d’encadrement contractuel au titre du RGPD », ce qui matérialise la responsabilité propre au sous-traitant ;
2. « les conditions générales de vente proposées par Dedalus Biologie au moment où les laboratoires acceptent sa prestation, transmises par la société dans le cadre de la procédure de contrôle, ne comportent aucune des mentions requises par l’article 28 du RGPD », pas plus qu'elles ne figurent « dans les contrats de maintenance transmis à la CNIL, conclus entre la société et les laboratoires ».
3. un contrat de maintenance datant de 2019 comportait certes une partie dédiée aux données à caractère personnel, « mais qui ne répond pas aux exigences de l’article 28 du RGPD et vise des dispositions obsolètes de la loi Informatique et Libertés » de 1978. 

De plus, ce n'est qu'après les contrôles de la CNIL qu'elle a commencé à mettre ses contrats de sous-traitance en conformité avec le RGPD qui, rappelons-le, avait été adopté en 2016, et qui était applicable depuis 2018.

• Le RGPD expliqué ligne par ligne

Dedalus a cherché à reporter la faute à son logiciel

La formation restreinte constate un second manquement relatif, cette fois, « à l’obligation pour le sous-traitant de ne traiter les données à caractère personnel que sur instruction du responsable de traitement » :

« Aux termes de l’article 29 du RGPD, "Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre". »

Or, le rapporteur relève que « Dedalus Biologie a extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients ». Le nom des deux laboratoires contrôlés est anonymisé par la CNIL, mais les exemples sont parlants.

Le premier avait en effet « sollicité, "selon les préconisations de Dedalus", la migration de données de la solution MEGABUS (également appelée DXLAB ONE) vers la solution KALISIL pour les patients ayant procédé à une analyse médicale après le 7 mai 2017 » :

« Or, les données extraites par la société Dedalus Biologie pour cette migration comportaient 8 403 lignes relatives à des patients dont la date de dernière visite était antérieure au 7 mai 2017, ce qui représente 6,5 % de la volumétrie totale. »

Le second lui avait demandé de « procéder à une extraction de la base des données de patients contenues dans le logiciel DXLAB ONE afin de migrer vers un autre logiciel édité et maintenu par une société tierce », tout en lui fournissant « une liste des champs à extraire afin d’être importés dans la nouvelle solution logicielle ». Or :

« Les colonnes "commentaire P" (contenant des informations telles que "STERILITE 100%", etc.) et "commentaire D" (contenant des informations telles que "TUBERCULOSE OSSEUSE SOUS RIFATER", "XARELTO" (médicament), "DIABETE", etc.) ont également été extraites, alors pourtant qu’elles ne figuraient pas dans la liste des champs à extraire. »

En réponse, Dedalus Biologie explique que « l’outil d’extraction disponible sur l’ancien logiciel DXLAB ONE, utilisé pour ces migrations, ne permettait que de procéder à une extraction totale du fichier des patients du laboratoire concerné, sans possibilité d’ajouter des filtres sur les champs à exporter pour n’en extraire que certains ».

À quoi la formation restreinte rétorque que la société « ne saurait se prévaloir d’un outil inadapté pour justifier d’avoir outrepassé les instructions des responsables de traitement » :

« Elle aurait pu, par exemple, opter pour un autre outil lui permettant de respecter les instructions données par ses clients, comme elle indique le faire désormais, ou a minima supprimer toutes les données qui n’auraient pas dû être extraites. »

De nombreux manquements en matière de sécurité 

Troisièmement, la formation restreinte lui reproche un « manquement à l’obligation d’assurer la sécurité des données ».

L'article 32 du RGPD prévoit en effet que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », à commencer par « la pseudonymisation et le chiffrement des données à caractère personnel ».

Le responsable du traitement doit en outre s'assurer des moyens permettant de :

1. « garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes » des traitements,
2. « rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident »,
3. disposer d' « une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».

De plus, et « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. »

Or, évoquant à mots couverts notre enquête sur le lanceur d'alertes que Dedalus avait licencié pour « fautes graves », « le rapporteur relève que, dès mars 2020, un ancien salarié de la société Dedalus Biologie avait fait remonter à son employeur des problèmes de sécurité », et qu'« il est établi que celui-ci avait bel et bien effectué des signalements pertinents ».

De plus, « de nombreux manquements techniques et organisationnels en matière de sécurité ont été constatés lors des contrôles de la CNIL et peuvent être retenus à l’encontre la société Dedalus Biologie ». Il relève, « notamment » :

• « l’absence de procédure spécifique s’agissant des opérations de migration de données,
• l’absence de chiffrement des données à caractère personnel stockées sur le serveur FTP MEGABUS,
• l’absence d’effacement automatique des données après migration vers un autre logiciel,
• l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur FTP MEGABUS,
• l’utilisation de comptes utilisateurs partagés entre plusieurs salariés s’agissant de la zone privée de ce même serveur et
• l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur. »

L'enquête diligentée par un prestataire (non identifié, ndlr) mandaté par Dedalus avait en effet relevé que « 90 % des données à caractère personnel du fichier objet de la violation, publié sur Internet en février 2021, étaient présentes sur un serveur FTP hébergé sur le serveur de télémaintenance MEGABUS (MEGAEXT) » :

« Le rapporteur en conclut que, malgré des alertes préalables, la société Dedalus Biologie n’a pas mis en œuvre de mesures satisfaisantes de sécurité pour encadrer le serveur FTP MEGABUS, ce qui a non seulement permis l’accès aux données concernées par des tiers non autorisés, mais également la divulgation sur des forums d’un fichier contenant les données médico-administratives de près de 500 000 personnes. »

Plusieurs mesures de sécurité élémentaires faisaient défaut 

Pour sa défense, Dedalus Biologie avance « qu’environ 10 % du fichier circulant sur Internet (soit environ 43 000 enregistrements) ne se trouvait pas sur le serveur FTP et qu’environ 50 % des données du serveur FTP ne se trouvaient pas dans le fichier circulant sur Internet », et cherche à botter en touche :

« Au regard des incohérences subsistantes entre les données présentes sur le serveur FTP et celles ayant circulé sur Internet, les investigations combinées de Dedalus Biologie et [du prestataire, …], qui se sont achevées le 26 mars 2021, n’ont pas permis à l’époque des faits de conclure avec certitude que lesdites intrusions seraient à l’origine de la cyberattaque reportée par la presse. »

À quoi la formation restreinte rétorque qu’il ressort bien des éléments du dossier qu’ « environ 90 % des données du fichier publié étaient présentes sur le serveur FTP », et lui renvoie une ribambelle de rappels à l'ordre, ainsi qu'aux b.a.-ba du métier et des règles élémentaires de sécurité :

1. « la société ne disposait pas de procédure spécifique établie s’agissant des opérations de migration de données ;
2. aucune mesure de sécurité n’était notamment prévue pour l’envoi des données, pourtant sensibles au sens de l’article 9 du RGPD. Les fichiers d’extractions de données étaient donc envoyés "en clair" [...] sans aucune mesure de chiffrement ou de sécurité ;
3. plusieurs mesures de sécurité élémentaires en matière de sécurité faisaient défaut ;
4. les données à caractère personnel stockées sur le serveur FTP MEGABUS n’étaient pas chiffrées et étaient donc directement lisibles, alors qu’il s’agit de données sensibles ;
5. en outre, dans le cadre des migrations du logiciel DXLAB ONE vers un autre logiciel, les données, une fois transférées sur le serveur, n’étaient pas effacées automatiquement, [faisant] encourir un risque de fuite ou de compromission desdites données ;
6. la zone publique du serveur, dans laquelle certaines données des laboratoires ont été stockées aux fins de migration, était accessible librement sans authentification depuis Internet ;
7. en outre, la zone privée du serveur était accessible avec des comptes utilisateurs partagés entre plusieurs salariés [faisant] peser un risque disproportionné, pourtant facilement évitable, sur la sécurité du traitement et augmente considérablement les risques de compromission, notamment du fait de la circulation du mot de passe entre plusieurs personnes ;
8. aucune procédure de supervision et de remontée d’alertes de sécurité n’était mise en œuvre sur le serveur FTP. Les connexions provenant d’adresses IP suspectes n’étaient donc ni détectées ni traitées ;
   plusieurs alertes successives auraient dû conduire la société à effectuer des investigations sur son système de sécurité ;
9. si la société indique avoir entrepris des investigations internes pour identifier la source possible de compromission et avoir mis en œuvre plusieurs actions correctives et préventives, elle n’a pas effectué de diligences suffisantes afin d’identifier si les données d’autres laboratoires avaient pu être compromises et si des vulnérabilités existantes étaient à l’origine de la compromission. »

La formation restreinte considère dès lors que « la société n’a pas pris la mesure des problèmes de sécurité qu’elle rencontrait à l’époque, lesquels ont fini par aboutir à la violation de données de février 2021 » :

« Ainsi, l’absence de mise en place de mesures de sécurité protégeant le serveur en cause - notamment l’absence de chiffrement, l’absence d’effacement automatique des données après leur migration, l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur et l’utilisation de comptes utilisateurs partagés - a conduit à rendre accessibles lesdites données à des tiers, et ce malgré des alertes préalables à la violation de données à caractère personnel ayant conduit à la divulgation d’un fichier contenant les données médico-administratives de près de 500 000 personnes. »

Elle souligne au surplus que « le manquement reproché n’est pas constitué par les violations de données en tant que telles, mais par les défauts de sécurité qui sont à l’origine de l’intrusion sur les serveurs de la société, constatés lors des contrôles effectués par la CNIL ».

Des manquements d’une particulière gravité

Plaidant en vue d'éviter, sinon une amende, tout du moins une trop forte amende, Dedalus Biologie « insiste en défense sur l’absence de violation commise précédemment, sur son importante coopération avec la CNIL, sur les mesures de remédiation mises en œuvre depuis la violation de données à caractère personnel et sur les importants efforts de remise en conformité engagés ».

À quoi la formation restreinte « rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative », de nombreux critères précisés à l’article 83 du RGPD, de sorte qu'elle soit « effective, proportionnée et dissuasive » :

• la nature et la gravité de la violation,
• le nombre de personnes affectées,
• le niveau de dommage qu’elles ont subi,
• le fait que la violation a été commise par négligence,
• les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées,
• le degré de coopération avec l’autorité de contrôle et
• les catégories de données à caractère personnel concernées par la violation.

Or, l'ensemble de ces manquements, non contents d'avoir « entraîné une violation de données à caractère personnel massive », portaient aussi et surtout sur des données de santé, « lesquelles sont des catégories particulières de données au sens de l’article 9 du RGPD (dites données "sensibles") » :

« La formation restreinte insiste, en outre, sur le caractère extrêmement dommageable de la violation pour les personnes concernées, dans la mesure où, outre des données d’état civil (civilité, nom, prénom), des coordonnées postales, électroniques et téléphoniques, des données très sensibles ont été divulguées. Le fichier objet de la violation de données à caractère personnel contient en effet des mentions relatives à l’infection au VIH, à des cancers ou des maladies génétiques, à la grossesse, aux traitements médicamenteux suivis par les patients ou encore à des données génétiques. »

La formation restreinte considère dès lors que « le manquement ayant conduit à la violation de données est d’une particulière gravité », au surplus parce que le lanceur d'alerte qu'elle avait préalablement licenciée pour « fautes graves » avait précisément cherché à remédier à ces nombreux problèmes de sécurité :

« Compte tenu de la nature des données concernées, la formation restreinte considère que la société aurait dû faire preuve d’une vigilance particulière en ce qui concerne la sécurisation de telles données, pour éviter qu’elles puissent être réutilisées par des tiers non autorisés, portant ainsi préjudice aux personnes concernées par la violation de données. Or les négligences commises en matière de sécurité ont été multiples et particulièrement graves, alors que la société traite de données sensibles et qu’elle avait d’ores et déjà été alertée sur l’existence potentielle de risques, dont certains se sont réalisés. »

Elle souligne au surplus qu’au regard de la nature des données compromises, « les personnes concernées par la violation sont des cibles de choix pour un hameçonnage ("phishing") personnalisé » :

« d’éventuels pirates disposent désormais de leur numéro de sécurité sociale, du nom de leur médecin prescripteur, de la date de leur examen, du nom du laboratoire ou encore, dans certains cas, d’informations médicales. La nature des données à caractère personnel compilées sous-tend également des risques d’usurpation d’identité, de fausses ordonnances (qui peuvent utiliser les noms des médecins), de messages de détresse factices reprenant les problèmes de santé mentionnés. »

En plus de constituer des données sensibles, ces informations ne peuvent pour certaines pas être modifiées par les personnes à qui elles sont rattachées. Si on peut mettre à jour son mot de passe ou changer d'email, ce n'est pas le cas du numéro de sécurité sociale, d'une date de naissance et d'autres d'informations médicales. 

Une amende supérieure à son résultat net

Cerise sur le gâteau, et circonstance aggravante, « la formation restreinte relève enfin que la société n’a pas pris de mesures particulières pour faire cesser la diffusion du fichier une fois qu’elle en a eu connaissance » :

« C’est la présidente de la CNIL, et non la société Dedalus Biologie, qui a fait délivrer une assignation en référé afin que soit assuré le blocage effectif du fichier litigieux. »

L’article 83 du RGPD prévoit qu’en cas de cumul de multiples violations, « comme c’est le cas en l’espèce », le montant total de l’amende « ne peut excéder le montant fixé pour la violation la plus grave ».

Du fait des manquements aux articles 28, 29 et 32 du RGPD, le montant maximum de l’amende s’élevait dès lors à « 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu ».

Ce même article prévoit pourtant que ces montants soient « doublés (20 millions, 4 % du C.A.) dans certains cas particuliers, touchant par exemple aux principes relatifs au traitement des données à caractère personnel (consentement, etc.), à la licéité, aux données sensibles, aux droits tels que la rectification, l’effacement, la limitation, l’information, aux transferts hors UE, ou encore en cas de non-respect d’une injonction ».

La société faisant état d’un chiffre d’affaires de « 18,8 millions d’euros en 2019 et de 16,3 millions d’euros en 2020, pour un résultat net s’élevant à 2 226 949 euros en 2019 et à 1 437 017 euros en 2020 », la formation restreinte, qui doit prendre en compte sa situation financière, « considère que le prononcé d’une amende de 1 500 000 euros apparaît justifié », soit plus que son résultat net 2020.

S'agissant de la publicité à donner à cette sanction, Dedalus plaidait le fait que la cyberattaque avait été largement médiatisée, « tant dans la presse papier que télévisuelle, en France et à l’étranger », et que cette médiatisation « aura des effets particulièrement néfastes pour elle, non seulement dans le cadre de son activité, mais encore sur son chiffre d’affaires ».

Des arguments qui n'ont guère convaincu la formation restreinte, qui précise que sa délibération « n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

Les questions auxquelles Dedalus n'avait pas voulu répondre

Une décision à mettre en regard des nombreuses questions que nous avions posées à Dedalus en octobre 2020 – et donc avant cette « fuite massive » – dans le cadre de notre enquête au sujet de son ex-lanceur d'alertes.

Elles visaient notamment à savoir pourquoi Dedalus avait attendu décembre 2019 pour se doter d'un RSSI, qui était au préalable en charge des questions de cybersécurité, si elle avait notifié la CNIL les violations de données que le lanceur d'alertes avait identifié, et la dernière, à savourer au vu de ce que l'on a donc découvert depuis :

« Quels sont les moyens, procédures et dispositifs mis en place par Dedalus pour vérifier que les enjeux et problèmes de cybersécurité et de protection des données personnelles sont dûment pris en compte par les (nombreuses) entreprises qu'elle acquiert (et a acquises ces dernières années) ? »

À l'époque, Dedalus n'avait pas voulu répondre à nos questions, préférant botter en touche, et nous accuser de « chercher à ternir l'image » du groupe, alors qu'il s'activait à lutter contre la pandémie de Covid :

« Dans un contexte sanitaire aussi grave, les enjeux de notre Groupe demeurent d’accompagner au mieux nos clients et, bien évidemment, de renforcer leur confiance. La place de la sécurité ne cesse de s'accroître et nous y sommes particulièrement attentifs. Nous sommes également bien entendu à l’écoute des conseils et recommandations que nous pouvons recevoir, qu’ils émanent de sources internes ou externes.

Concernant Monsieur D., les motifs de la rupture du contrat de travail n’ont pas de lien avec une situation ou un rôle de lanceur d’alerte. Lorsque nous avons décidé de mettre un terme à notre collaboration, nous avons pris cette décision sur la base de faits précis. Il s’agit d’éléments confidentiels sur lesquels nous ne pouvons échanger avec vous. Monsieur D. a saisi le Conseil de Prud’hommes, comme le droit le lui permet, et cette instance jugera en fait et en droit du bien-fondé de ce licenciement.

Nos équipes et notre entreprise ont été extrêmement mobilisées dans le cadre de la crise du COVID et il serait dommage de chercher à ternir, à partir d’un fait extrait de son contexte, l’image d’un Groupe dont la principale et unique mission est de fournir les meilleures solutions dans un domaine aussi sensible que la Santé ; environnement particulièrement encadré et certifié par différentes normes réglementaires, dans lesquelles nous évoluons depuis de nombreuses années. »