Action concernant les laboratoires BIOGROUP suite à la transmission des données de santé des patients par e-mail avec un chiffrement faible

Chronologie des événements :

• 29 juil. 2021

  19:21

  E-mail envoyé au DPO de Biogroup

  Un e-mail a été envoyé au délégué à la protection des données (DPO) de Biogroup pour l’informer que les mesures de sécurité sont inadaptées, pour l’inviter à mieux protéger les données à caractère personnel des patients et pour considérer la nécessité d’informer la CNIL et les patients.
  Voir le message intégral

  Bonjour,

  Les laboratoires du groupe BIOGROUP réalisent, pour le compte de ses patients, des analyses médicales et proposent d'envoyer les résultats par e-mail.

  Les e-mails ne sont pourtant pas considérés comme des moyens de communication sécurisés, car leur contenu n'est pas chiffré. Cela veut dire qu'un intermédiaire pourrait très bien, s'il le voulait, intercepter les e-mails envoyés par BIOGROUP et lire leur contenu.

  Les données de santé des patients sont intégrées en pièce jointe des e-mails, dans un document PDF protégé par un mot de passe. Le format de ce mot de passe est cependant communiqué, en clair, dans l'e-mail. Il correspond aux trois premières lettres du nom de famille du patient suivies de sa date de naissance au format JJMMAAAA :

  « Un mot de passe vous sera demandé pour ouvrir le fichier PDF joint, celui-ci est composé des 3 premières lettres de votre nom (marital, en MAJUSCULES), suivi de votre date de naissance au format JJMMAAAA.
  Exemple : Mr Jean DUPONT né le 15/01/1990 : DUP15011990 »

  Communiquer la composition du mot de passe réduit drastiquement la sécurité du dispositif, car un attaquant qui mettrait la main sur l'un des e-mails de BIOGROUP ne devrait pas tenter toutes les possibilités pour découvrir le mot de passe, mais seulement celles qui suivent le format donné.

  L'objet des e-mails contient le nom de famille et le prénom du patient, ce qui affaiblit encore d'avantage le dispositif, car un attaquant n'aurait plus qu'à deviner la date de naissance du patient, soit exactement 36 891 possibilités, si on considère que la personne a entre 1 et 100 ans.

  La majorité des machines grand public trouverait un tel mot de passe instantanément.

  Ce semblant de sécurité rassure probablement les patients qui pensent que leurs données de santé sont correctement protégées. La réalité est que ce dispositif est complètement inutile, d'un point de vue de la sécurité. Les données de santé des patients ne transitent, certes, pas en clair, mais dans un document PDF protégé par un mot de passe tellement faible, que la sécurité peut être considérée comme inexistante.

  Le RGPD impose pourtant que les données à caractère personnel, dont les données de santé, doivent être sécurisées avec des « mesures adaptées aux risques » :

  « Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (Article 25-1 du RGPD)

  Je ne considère pas que les mesures soient adaptées aux risques, étant donné le caractère sensible des données communiquées.

  Je vous invite à modifier ce dispositif pour protéger la confidentialité des données à caractère personnel de vos patients.

  Je vous invite aussi à considérer la nécessité d'avertir la CNIL et d'informer les patients que leurs données à caractère personnel ont transité de manière non sécurisée et ont potentiellement été interceptées.

• 16 août 2021

  08:06

  E-mail reçu au DPO de Biogroup

  Un e-mail a été reçu du DPO de Biogroup pour indiquer que le courriel a été « transmis aux services concernés pour analyse pour pouvoir vous apporter la réponse la plus complète possible ».
  Voir le message intégral

  Bonjour Monsieur Schmiedt,

  Nous accusons bonne réception de vos courriels, que nous avons transmis aux services concernés pour analyse pour pouvoir vous apporter la réponse la plus complète possible.

  Dans l'attente, nous prions d’agréer, Monsieur, l’expression de nos salutations distinguées,
  Service Protection des données – Biogroup

• 2 sept. 2021

  10:25

  E-mail envoyé au DPO de Biogroup (2)

  Un e-mail a été envoyé au DPO de Biogroup pour demander si les éléments remontés ont pu être analysés, si une modification du traitement des données de santé a été effectuée, si les patients allaient être informés, et si la CNIL avait été informée
  Voir le message intégral

  Bonjour [RETIRÉ],

  Vos services ont-ils pu analyser les éléments que je vous ai remontés ?

  Une modification du traitement des données de santé des patients a-t-elle été effectuée ?

  Allez-vous informer les patients que leurs données de santé étaient transmises par un moyen ne pouvant pas garantir la confidentialité des données ?

  Allez-vous informer la CNIL ?

  Je vous ai alerté initialement le 29/07/2021, c'est-à-dire il y a déjà plus d'un mois. Les données de santé des patients étant des données particulièrement sensibles, une réponse rapide de votre part serait appropriée.

  Morgan Schmiedt

• 7 sept. 2021

  11:37

  Plainte déposée à la CNIL

  La plainte n° 28-4900 a été déposée à la CNIL pour demander de cesser de communiquer les données de santé de ses patients par courrier électronique, ou d’utiliser des mots de passes robustes, dont le format n’est pas communiqué à l’intérieur du courriel ; et d’informer les patients que leurs données à caractère personnel, dont les données de santé, ont pu être, ou ont été, interceptées et consultées par des tiers.

  Documents

  • 20210907-plainte-cnil-biogroup.txt
• 7 sept. 2021

  Information du public

  Un article a a été publié pour alerter les internautes.
• 6 janv. 2022

  10:36

  Plainte en cours d'instruction par la CNIL

  La CNIL a indiqué que la plainte n° 28-4900 était désormais « en cours d’instruction »
  Voir le message intégral

  Monsieur,

  Vous avez saisi la Commission nationale de l’informatique et des libertés (CNIL) d’une plainte visant la SCM BIOGROUP, concernant la sécurité des données de ses patients.

  Nous vous remercions pour votre signalement.

  Nous vous informons par ailleurs que votre plainte est en cours d’instruction.

  Le service de l’exercice des droits et des plaintes

• 30 août 2022

  13:09

  Message de la CNIL

  La CNIL a indiqué que la Commission est « intervenue auprès de l’organisme pour lui rappeler ses obligations et l’alerter sur la nécessité de respecter les règles en vigueur ».
  Voir le message intégral

  Madame,

  Vous avez adressé à la Commission nationale de l’informatique et des libertés (CNIL) une réclamation à l’encontre de l’organisme SCM BIOGROUP.

  La CNIL est intervenue auprès de l’organisme mis en cause, pour lui rappeler ses obligations et l’alerter sur la nécessité de respecter les règles en vigueur. Nous ne manquerons pas de vous informer de l’issue de votre plainte.

  Nous vous prions d'agréer nos salutations respectueuses.

• 4 sept. 2023

  08:38

  Demande d'information à la CNIL

  Un message a été envoyé à la CNIL pour connaître les suites données à la plainte et pour savoir si des mesures additionnelles de sécurité seront prises par Biogroup.
  Voir le message intégral

  Madame, Monsieur,

  Deux ans après le dépot de ce signalement, les manquements constatés, à savoir l'envoi par courriel de données de santé sans une sécurité adaptée, persistent, malgré l'intervention de la CNIL il y a plus d'un an.

  Pouvez-vous m'indiquer, d'une part, les suites données à mon signalement et, d'autre part, si des mesures additionnelles de sécurité seront prises par la société SCM BIOGROUP pour protéger les données de santé de millions de Français ?