Action concernant les laboratoires BIOGROUP suite à la transmission des données de santé des patients par e-mail avec un chiffrement faible

En juillet 2021, il a été découvert que la société BIOGROUP transmettait les résultats des analyses médicales des patients par e-mail, dans un document protégé par un mot de passe.

Il a aussi été constaté que la composition du mot de passe était indiquée dans le contenu de l’e-mail (trois premières lettres du nom suivies de la date de naissance) et qu’une partie du mot de passe (le nom) pouvait également être indiquée dans le contenu de l’e-mail.

La société BIOGROUP a été alertée. Une plainte a également été déposée à la CNIL pour que les données de santé des patients soient transmises à l’aide d’un mécanisme plus robuste.

Chronologie des événements :

• le 29/07/2021, un e-mail a été envoyé au délégué à la protection des données (DPO) de BIOGROUP pour l’informer que les mesures de sécurité prises ne sont pas adaptées et pour l’inviter à (i) mieux protéger les données à caractère personnel de leurs patients et (ii) considérer la nécessité d’informer la CNIL et les patients.
• le 06/08/2021 et le 13/08/2021, des e-mails de relance ont été envoyés au DPO de BIOGROUP.
• le 16/08/2021, un e-mail a été reçu du DPO de BIOGROUP pour indiquer que les informations ont été transférées aux services concernés pour analyse.
• le 02/09/2021, un e-mail a été envoyé au DPO de BIOGROUP pour demander (i) si les éléments remontés ont pu être analysés, (ii) si une modification du traitement des données de santé a été effectuée, (ii) si les patients allaient être informés, et (iii) si la CNIL avait été informée.
• le 07/09/2021, une plainte a été déposée à de la CNIL (réf. 28-4900).
• le 07/09/2021, un article a été publié pour alerter les internautes. Voir « Les laboratoires Biogroup transmettent les données de santé de millions de patients par e-mail sans réelle sécurité ».
• le 06/01/2022, un message a été reçu de la CNIL indiquant que « la plainte est en cours d’instruction ».
• le 30/08/2022, un message a été reçu de la CNIL indiquant être « intervenue auprès de l’organisme pour lui rappeler ses obligations et l’alerter sur la nécessité de respecter les règles en vigueur ». La CNIL précise qu’elle « ne manquer[a] pas de [m’]informer de l’issue de [ma] plainte ».