La Cnil étrille Francetest

Le gendarme des données personnelles met en demeure la société accusée d’avoir laissé exposées en ligne les données de tests antigéniques de centaines de milliers de Français. 

Fin août, Mediapart rapportait que les les noms, prénoms, adresses e-mail, adresses postales, dates de naissance, numéros de téléphone, numéros de sécurité sociale et résultats de test antigénique de quelque 700 000 Français et Françaises étaient accessibles en ligne.

Autant d’informations transmises par les officines de pharmacie à une entreprise, Francetest, qui permet aux apothicaires de faire le lien avec la plateforme SI-DEP. Avec les révélations de Médiapart, plusieurs problèmes étaient posés. A commencer par l’absence d’homologation de Francetest auprès de la Direction Générale de la Santé.

Avertissement

Mais il ne s’agit là que du moindre mal, puisque les informations stockées par l’entreprise était certes protégées par un mot de passe, mais celui-ci était accessible sans trop d’effort, en clair, dans un dossier dans l’arborescence du site… Les données ont été ainsi accessibles pendant plusieurs mois. Pire encore, Francetest a réagi avec légèreté, et un certain déni, à l’annonce de l’exposition de ces données, remédiant certes au problème, mais soulignant qu’il « s’agit uniquement de l’avertissement d’une faille existante ».

Mais la Cnil ne l’a pas entendu de cette oreille. Avertie le 27 août, la Cnil a mené des contrôles en ligne et dans les locaux de Francetest. « La base de données exposée concernait 386 970 personnes uniques et comportait leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale (NIR) » remarque le gendarme des données personnelles, qui reconnaît que la société a effectivement remédié au problème.

Sécurité défaillante

Néanmoins, la Cnil constate également que Francetest présente encore des manquements en matière de sécurité des données, d’autant qu’il s’agit de données de santé. Hébergement chez un prestataire non certifié HDS, processus d’authentification faiblard, chiffrement défaillant et surveillance des logs « lacunaire » valent à l’entreprise d’être mise en demeure par le régulateur de prendre toutes les mesures qui s’imposent dans les deux mois.

Mais la Cnil ne s’arrête pas en si bon chemin, car Francetest n’est pas seule à blâmer dans le cas présent. « La CNIL a adressé un courrier à plus de 300 officines concernées. La présidente y rappelle notamment l'importance d'assurer la sécurité des données de santé et leurs obligations concernant l'encadrement des relations avec leurs prestataires » écrit le gendarme des données personnelles. Lequel ajoute qu’il publiera pour consultation publique dans les prochaines semaines « un projet de référentiel relatif aux traitements de données personnelles destinés à la gestion des officines de pharmacie ».