La Commission nationale de l’informatique et des libertés (CNIL) a annoncé, jeudi 14 octobre, avoir mis en demeure la société privée Francetest de sécuriser les données de santé qu’elle collecte pour le compte des pharmacies à l’occasion de tests de dépistage du Covid-19.
Une faille informatique, rendant accessibles quelque 700 000 résultats de tests antigéniques réalisés en pharmacie, avait été révélée mardi 31 août par le site d’information Mediapart. Francetest avait assuré le lendemain avoir « requis l’assistance d’experts en cybersécurité ». L’entreprise, spécialisée dans le transfert de données de tests de dépistage du coronavirus vers la plate-forme gouvernementale SI-Dep (pour système d’information de dépistage), avait précisé que des opérations d’évaluation de la sécurité des serveurs seraient réalisées avec ces experts.
Deux mois pour faire le nécessaire
Après avoir mené des contrôles, la CNIL a déclaré que la base de données exposée concernait « 386 970 personnes uniques et comportait leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de Sécurité sociale ».
Si Francetest a pris certaines mesures pour remédier à la vulnérabilité à l’origine de la violation de données, le service « présente toujours plusieurs insuffisances en matière de sécurité de données (…). Les données de santé sont hébergées chez un prestataire ne disposant pas d’un agrément HDS [hébergement de données de santé], les processus d’authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation [enregistrement des actions des personnes accédant à l’outil] des activités des serveurs est lacunaire », a expliqué la CNIL. « La société dispose d’un délai de deux mois pour faire le nécessaire », a-t-elle ajouté.
Nombre de pharmaciens ont recours à des intermédiaires pour rentrer les résultats des tests réalisés dans le SI-Dep. Francetest facture ainsi 1 euro par transmission, d’après le site d’information Mediapart. La société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la CNIL a adressé un courrier à « plus de 300 pharmacies afin qu’elles vérifient leur conformité au RGPD [règlement général sur la protection des données] et à l’obligation de sécurité ».
Contribuer
Réutiliser ce contenu