Le 29 juillet 2022, il a été découvert que la société BIOGROUP transmettait les résultats des analyses médicales des patients par e-mail, dans un document protégé par un mot de passe.

Il a aussi été constaté que la composition du mot de passe était indiquée dans le contenu de l’e-mail (trois premières lettres du nom suivies de la date de naissance) et qu’une partie du mot de passe (le nom) pouvait également être indiquée dans le contenu de l’e-mail.

La société BIOGROUP a été alertée. Une plainte a également été déposée à la CNIL pour que les données de santé des patients soient transmises à l’aide d’un mécanisme plus robuste.

Chronologie des événements :

  • le 29/07/2021, un e-mail a été envoyé au Délégué à la Protection des Données (DPD) de BIOGROUP pour l’informer que les mesures de sécurité prises ne sont pas adaptées et pour l’inviter à (i) mieux protéger les données à caractère personnel de leurs patients et (ii) considérer la nécessité d’informer la CNIL et les patients.
  • le 06/08/2021 et le 13/08/2021, des e-mails de relance ont été envoyés au DPD de BIOGROUP.
  • le 16/08/2021, un e-mail a été reçu du DPD de BIOGROUP pour indiquer que les informations ont été transférées aux services concernés pour analyse.
  • le 02/09/2021, un e-mail a été envoyé au DPD de BIOGROUP pour demander (i) si les éléments remontés ont pu être analysés, (ii) si une modification du traitement des données de santé a été effectuée, (ii) si les patients allaient être informés, et (iii) si la CNIL avait été informée.
  • le 07/09/2021, une plainte a été déposée à de la CNIL (réf. 28-4900).
  • le 07/09/2021, un article a été publié pour alerter les internautes. Voir « Les laboratoires Biogroup transmettent les données de santé de millions de patients par e-mail sans réelle sécurité ».
  • le 06/01/2022, un message a été reçu de la CNIL indiquant que « la plainte est en cours d’instruction ».
  • le 30/08/2022, un message a été reçu de la CNIL indiquant être « intervenue auprès de l’organisme pour lui rappeler ses obligations et l’alerter sur la nécessité de respecter les règles en vigueur ». La CNIL précise qu’elle « ne manquer[a] pas de [m’]informer de l’issue de [ma] plainte ».