La présidente de la CNIL a mis en demeure la société privée Francetest de sécuriser les données de santé qu’elle collecte pour le compte des pharmacies à l’occasion de tests de dépistage à la COVID-19. Elle s’est également rapprochée de plus de 300 pharmacies afin qu’elles vérifient leur conformité au RGPD et à l’obligation de sécurité.
Les contrôles et la décision de la CNIL
Le 27 août 2021, la CNIL a reçu un signalement anonyme indiquant l’existence d’une violation de sécurité affectant francetest.fr, un site web édité par une société privée.
Cette violation portait sur les données exploitées par Francetest dans le cadre d’un service qu’elle propose aux pharmacies pour simplifier la collecte des données des patients effectuant des tests antigéniques au SARS-CoV-2 et faciliter leur transmission vers la plateforme SI-DEP (fichier mis en œuvre par le ministère des Solidarités et de la Santé pour centraliser les résultats des tests).
La CNIL a mené des contrôles en ligne et dans les locaux de la société afin d’enquêter sur les circonstances de cette violation de données et vérifier les mesures prises pour assurer la sécurité des données. La base de données exposée concernait 386 970 personnes uniques et comportait leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale (NIR).
La CNIL a constaté que la société avait pris certaines mesures pour remédier à la vulnérabilité à l’origine de la violation de données. Cependant, le service Francetest présente toujours plusieurs insuffisances en matière de sécurité de données. Les données de santé sont hébergées chez un prestataire ne disposant pas d’un agrément HDS (hébergement de données de santé), les processus d’authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l’outil) des activités des serveurs est lacunaire.
En conséquence, la présidente de la CNIL a décidé de mettre la société en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu’elle traite pour le compte de centaines de pharmacies. La société dispose d’un délai de deux mois pour faire le nécessaire.
Compte tenu de la sensibilité des données traitées et de la nécessité d’informer l’ensemble des personnes concernées par les traitements en cause sur l’existence de manquements persistants à la sécurité des données, cette mise en demeure est rendue publique.
Par ailleurs, la société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la CNIL a adressé un courrier à plus de 300 officines concernées. La présidente y rappelle notamment l’importance d’assurer la sécurité des données de santé et leurs obligations concernant l’encadrement des relations avec leurs prestataires.
Les données de santé au cœur de l’action de la CNIL
Ces différentes actions menées par la CNIL s’inscrivent dans le cadre de sa stratégie de contrôle pour l’année 2021, visant en priorité la cybersécurité du web français et la sécurité des données de santé.
Elles sont également le prolongement naturel des multiples campagnes de contrôles effectuées par la CNIL pour répondre aux défis posés par le contexte sanitaire, notamment en termes de sécurité des données de santé.
En complémentarité de sa stratégie répressive, la CNIL poursuit également sa mission d’accompagnement des acteurs concernés vers leur mise en conformité. Ainsi, elle a envoyé un courrier à l’attention du Conseil national de l’ordre des pharmaciens (CNOP) dans lequel elle appelle la profession à faire preuve d’une vigilance accrue vis-à-vis des traitements de données personnelles qu’elle met en œuvre.
Par ailleurs, dans les semaines à venir, un projet de référentiel relatif aux traitements de données personnelles destinés à la gestion des officines de pharmacie sera soumis à une consultation publique sur le site web de la CNIL.