Les laboratoires BIOGROUP proposaient à ses clients de réaliser une demande de prise en charge pour un test de dépistage COVID-19 en remplissant un formulaire sur le site BIOBORNE.FR.

Le 8 décembre 2021, il a été constaté que :

  • le certificat numérique du site n’était pas valide, car l’adresse associée au certificat (cluster030.hosting.ovh.net) ne correspondait pas à l’adresse du site (bioborne.fr) ;
  • les mentions présentes sur le site ne permettaient pas aux personnes de connaître la façon dont leurs données à caractère personnel étaient traitées ;
  • les modules Google Analytics et Google reCAPTCHA étaient utilisés sans le consentement préalable des personnes ;
  • les données personnelles et de santé[1] saisies par les patients étaient envoyées aux patients par e-mail sans chiffrement, sous la forme d’un QRCode.

Les laboratoires BIOGROUP ont été contactés. Une plainte également été déposée à la CNIL. La Commission a rappelé à la société BIOGROUP « ses obligations au titre de la réglementation relative à la protection des données ». Les laboratoires BIOGROUP ont, par ailleurs, indiqué à la Commission « que le site web BIOBORNE.FR a été définitivement fermé en juillet 2022 ».

Chronologie des événements :

  • le 08/12/2021, les constatations ont été réalisées sur le site BIOBORNE.FR.
  • le 08/12/2021, un e-mail a été envoyé au Délégué à la Protection des Données (DPO) de BIOGROUP pour l’informer des dysfonctionnements du site BIOBORNE.FR.
  • le 12/12/2021, il a été détecté que le site BIOBORNE.FR a été mis à jour. Le site contient désormais, en bas de page, trois liens : un lien vers les « Mentions Légales », un lien vers la « Politique des données person[n]elles » (sic) et un lien vers la « Politique de gestion des cookies ». Le module Google Analytics a également été retiré.
  • le 16/12/2021, un e-mail a été reçu du DPO de BIOGROUP pour indiquer notamment que (i) le site avait été mis à jour, que (ii) un certificat valide avait été commandé mais n’avait pas encore été reçu et que (iii) les informations relatives à l’utilisation de Google reCAPTCHA allaient être ajoutées.
  • le 22/12/2021, un e-mail a été envoyé au DPO de BIOGROUP pour l’informer que les données à caractère personnel des patients transitaient par e-mail sans chiffrement, ce qui ne permet pas de garantir leur confidentialité.
  • le 24/12/2021, il a été détecté que le site BIOBORNE.FR a été mis à jour. Un certificat valide a été ajouté et une bannière de consentement (DIDOMI) est désormais affichée.
  • le 04/01/2022, une plainte a été déposée à la CNIL (réf. 28-6315).
  • le 05/01/2022, un e-mail a été reçu du DPO de BIOGROUP pour indiquer qu’une mise à jour avait été réalisée le 23/12/2021 et que les données étaient à présent chiffrées avant d’être envoyées par e-mail aux patients.
  • le 20/07/2022, un message a été reçu de la CNIL pour indiquer être « intervenue auprès de l’organisme mis en cause, pour lui rappeler ses obligations et l’alerter sur la nécessité de respecter les règles en vigueur ».
  • le 18/08/2022, le DPO de BIOGROUP a indiqué à la CNIL que le site BIOBORNE.FR « a été définitivement fermé en juillet 2022 ».
  • le 27/12/2022, un message a été reçu de la CNIL pour indiquer « être intervenu[e] à l’appui de [ma] plainte en rappelant ses obligations au titre de la réglementation relative à la protection des données à la société SCM BIOGROUP. » (Voir le message intégral). La plainte a été clôturée.

Notes et références

  1. Les données des patients transmises sans chiffrement étaient : le sexe du patient, le nom et prénom, la date de naissance, le lieu de résidence, le numéro de téléphone, l’adresse postale, le nom du médecin traitant, les informations relatives à la protection sociale et la présence de symptomes.