Covid-19 : la Cnil met en demeure Francetest après la fuite de données de santé

Covid-19 : la Cnil met en demeure Francetest après la fuite de données de santé

'Mediapart' avait révélé fin août une faille sur le site qui transmet les résultats de tests Covid-19, réalisés en pharmacie vers la plateforme gouvernementale SI-DEP. Les données de 700.000 personnes étaient susceptibles de fuiter sur Internet...

Covid-19 : la Cnil met en demeure Francetest après la fuite de données de santé
Crédit photo © Reuters

(Boursier.com) — Fin août dernier, une fuite massive de résultats de tests a rendu accessibles les données de centaines de milliers de personnes, en raison d'une faille sur Francetest, un site qui transmet les résultats de tests de dépistage du Covid-19 réalisés en pharmacie vers la plateforme gouvernementale SI-DEP (système d'information de dépistage).

Jeudi, la Commission nationale de l'informatique et des libertés (Cnil) a annoncé avoir mis en demeure la société privée de sécuriser les données de santé qu'elle collecte pour le compte des pharmacies à l'occasion de tests de dépistage du Covid-19.

"La présidente de la Cnil a mis en demeure la société privée Francetest de sécuriser les données de santé qu'elle collecte pour le compte des pharmacies à l'occasion de tests de dépistage à la Covid-19. Elle s'est également rapprochée de plus de 300 pharmacies afin qu'elles vérifient leur conformité au RGPD et à l'obligation de sécurité", indique-t-on dans un communiqué.

Nom, numéro de téléphone, date de naissance, résultat du test...

La commission, qui a reçu "un signalement anonyme indiquant l'existence d'une violation de sécurité affectant francetest.fr", a mené des contrôles en ligne et dans les locaux de la société afin d'enquêter sur les circonstances de cette violation de données et vérifier les mesures prises pour assurer la sécurité des données.

"La base de données exposée concernait 386.970 personnes uniques et comportait leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale (NIR)", détaille-t-elle... Si la société a d'ores et déjà pris certaines mesures pour remédier à la vulnérabilité à l'origine de la violation de données, la Cnil souligne toutefois que le service Francetest présente toujours plusieurs insuffisances en matière de sécurité de données.

"Un mot de passe trouvable"

"Les données de santé sont hébergées chez un prestataire ne disposant pas d'un agrément HDS (hébergement de données de santé), les processus d'authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l'outil) des activités des serveurs est lacunaire", relève le gendarme français des données personnelles.

Pour rappel, 'Mediapart' avait révélé fin août que la plateforme de gestion des données entre les pharmaciens et le gouvernement avait laissé fuiter les résultats de 700.000 tests accompagnés de l'identité complète des personnes. Ces données avaient été rendues accessibles durant des mois sur le site de Francetest, grâce à "un mot de passe trouvable, en clair, dans un dossier accessible à tous", rapportait le site d'information.

©2021

Nombre de caractères autorisés : 500

Déjà inscrit ? Connectez-vous

Pas encore inscrit? Inscrivez-vous en quelques secondes !