Début 2022, suite aux actions réalisées sur les laboratoires BIOGROUP, il a été découvert que les laboratoires BARRAND transmettaient aux patients les résultats de leurs analyses médicales dans les mêmes conditions, c’est-à-dire par e-mail, protégé par un mot de passe dont la composition (les trois premières lettres du nom suivies de la date de naissance) et une partie de son contenu étaient indiquées dans le corps de l’e-mail.

Les laboratoires BARRAND ont été alertés. Une plainte a également été déposée à la CNIL pour que les données de santé des patients soient transmises à l’aide d’un mécanisme plus robuste.

La Commission a rappelé à la société BARRAND les « règles à respecter en matière de sécurité des données personnelles et notamment en matière de mot de passe ».

Suite à ce rappel, les laboratoires BARRAND ont indiqué avoir supprimé « le nom de famille d[u] corps du mail », « dans l’attente des évolutions adéquates du fournisseur [DEDALUS] ».

Chronologie des événements :

  • le 21/01/2022, un e-mail a été envoyé aux laboratoires BARRAND pour les informer et leur demander de changer leur dispositif.
  • le 28/01/2022, en l’absence de réponse, un message identique a été envoyé aux laboratoires BARRAND via le formulaire de contact disponible sur leur site Internet.
  • le 24/02/2022, une plainte a été déposée auprès de la CNIL (réf. 28-6903).
  • le 01/03/2022, un message a été reçu de la CNIL pour indiquer « [être] intervenue ce jour, par courrier postal, auprès des services de l’organisme afin de procéder à un rappel des règles à respecter en matière de sécurité des données personnelles et notamment en matière de mot de passe. » (Voir le message intégral). La plainte a été clôturée.
  • le 08/03/2022, un message a été reçu du Délégué à la Protection des Données des laboratoires BARRAND pour indiquer notamment que « le système d’envoi par mail est historique et malheureusement, [l’]éditeur de logiciel Dedalus […] ne l’a pas fait évoluer en fonction des nouvelles recommandations » ; que « Dedalus développe une solution de double authentification lors de la réception d’emails mais n’est pas encore capable de nous donner un délai de mise en œuvre. » ; et que, « dans l’attente des évolutions adéquates du fournisseur », le « nom de famille dans le corps du mail » allait être supprimé (Voir le message intégral).