La société Biogroup a été informée que le site Web « bioborne.fr », édité par la société et utilisé pour collecter les données à caractère personnel des patients afin de réaliser un test de dépistage COVID-19, comporte de nombreux dysfonctionnements.

Premièrement, le certificat numérique du site n’est pas valide, car l’adresse[1] associée au certificat (cluster030.hosting.ovh.net) ne correspond pas à l’adresse du site (bioborne.fr). Les internautes n’ont donc pas la garantie de visiter un site Web légitime[2] et n’ont pas la garantie que les données transmises restent confidentielles[3].

Deuxièmement, les mentions présentes sur le site ne permettent pas aux internautes et aux patients de connaître la façon dont leurs données à caractère personnel sont traitées[4]. Les personnes n’ont, par exemple, pas la possibilité de connaître le nom du responsable du traitement, de connaître la durée de conservation des données ou d’exercer leurs droits[5].

Troisièmement, le consentement de l’internaute n’est pas demandé, alors que le site charge et utilise les modules Google Analytics[6] et Google reCAPTCHA[7]. Les données à caractère personnel des internautes sont donc collectées de manière illicite.

Quatrièmement, les données personnelles des utilisateurs sont envoyées aux patients par e-mail sans chiffrement, car elles sont contenues, en clair, dans le QRCode joint aux e-mails. La confidentialité des données des patients n’est donc pas garantie[8].

Depuis la publication de ce signalement, le site « bioborne.fr » a été mis à jour par Biogroup : les données sont à présent chiffrées avant d’être envoyées par e-mail au patient, les informations règlementaires ont été (partiellement) ajoutées, le module Google Analytics a été retiré de certaines pages et une bannière de consentement a été ajoutée. Le module Google reCAPTCHA est cependant utilisé même si l’internaute refuse de donner son consentement.

Il n’y a plus de contre-indications évidentes à utiliser le site « bioborne.fr ». Une plainte a néanmoins été déposée auprès de la CNIL, car de nombreux manquements persistent.


Événements relatifs à cette alerte :

  • le 08/12/2021, il a été constaté que le site « bioborne.fr » contenait des anomalies.
  • le 08/12/2021, un e-mail a été envoyé au Délégué à la Protection des Données (DPD) de Biogroup pour l’informer que son site « bioborne.fr » (i) ne possédait un certificat valide, (ii) ne contenait pas les informations exigées par le RGPD et (iii) ne demandait pas le consentement des internautes avant le chargement de Google Analytics.
  • le 12/12/2021, il a été détecté que le site « bioborne.fr » a été mis à jour. Il contient désormais, en bas de page, trois liens : un lien les « Mentions Légales », un lien vers la « Politique des données person[n]elles » (sic) et un lien vers la « Politique de gestion des cookies ». Le module Google Analytics a aussi été retiré de certaines pages.
  • le 12/12/2021, un e-mail a été envoyé au DPD de Biogroup pour l’informer qu’il a été constaté que (i) le site avait été mis à jour et que (ii) Google Analytics avait été retiré de certaines pages. Le DPD a cependant été alerté que (i) le certificat du site était toujours invalide, (ii) que le module Google Analytics était toujours présent sur certaines pages et que (iii) le module Google reCAPTCHA était utilisé sans le consentement des internautes.
  • le 16/12/2021, un e-mail a été reçu du DPD de Biogroup pour indiquer notamment que (i) le site avait effectivement été mis à jour, que (ii) un certicat valide avait été commandé mais n’avait pas encore été reçu et que (iii) les informations relatives à l’utilisation de Google reCAPTCHA allaient être ajoutées.
  • le 22/12/2021, un e-mail a été envoyé au DPD de Biogroup pour l’informer que la confidentialité des données à caractère personnel des patients n’est pas garantie car les données sont transmises par e-mail, sans chiffrement.
  • le 24/12/2021, il a été détecté que le site « bioborne.fr » a été mis à jour : un certificat valide a été ajouté et une bannière de consentement (Didomi) est désormais affichée à l’internaute. Le module Google reCAPTCHA est cependant utilisé même si l’internaute refuse de donner son consentement.
  • le 04/01/2022, une plainte, référence 28-6315, a été déposée auprès de CNIL pour des manquements au RGPD et à la loi informatique et libertés : lire la plainte.
  • le 05/01/2020, un e-mail a été reçu du DPD de Biogroup pour indiquer avoir effectivement réalisé une mise à jour le 23/12/2021 et que les données étaient à présent chiffrées avant d’être envoyées par e-mail aux patients.

Notes et références

  1. L’adresse présente dans les certificats correspond au nom de domaine du site Web et éventuellement à son nom de sous-domaine. Dans ce l’adresse devrait être bioborne.fr
  2. Un certificat numérique utilisé pour chiffrer les communications échangées par HTTPS doit contenir l’adresse du site pour lequel il a été généré. Dans le cas contraire, un avertissement est affiché par les navigateurs, car cela peut signifier que la page soit issue d’un attaquant plutôt que l’éditeur officiel.
  3. Si le certificat utilisé par le site « bioborne.fr » appartient à un autre site Web, l’éditeur de cet autre site Web peut avoir la clé permettant de déchiffrer les communications.
  4. Le RGPD demande qu’un certain nombre d’informations soit communiqué aux personnes lorsque leurs données à caractère personnel sont collectées ou traitées. Le nom du responsable du traitement ou la durée de conservation des données font partie des informations à communiquer. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont collectées ? ».
  5. Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  6. De manière générale, le consentement des internautes est nécessaire lorsque des cookies sont utilisés. Il existe cependant des exceptions pour certains outils de mesure d’audience. Google Analytics ne fait pas partie de ces exceptions. Voir « Doit-on demander le consentement des visiteurs pour utiliser Google Analytics ? ».
  7. De manière générale, le consentement des internautes est nécessaire lorsque des cookies sont utilisés. Il existe cependant des exceptions, notamment lorsque les cookies « ont pour finalité exclusive de faciliter la communication ». Google reCAPTCHA ne fait pas partie de ces exceptions. Voir « Doit-on obtenir le consentement des internautes pour utiliser Google reCAPTCHA ? ».
  8. La confidentialité des données transmises par e-mail n’est pas garantie, car les e-mails transitent sur Internet et car le contenu des e-mails n’est pas chiffré. Cela est préjudiciable aux patients, car ses données peuvent être interceptées et lues. Cela est aussi contraire au RGPD, qui demande de garantir la confidentialité des données personnelles. Voir « Peut-on envoyer des données à caractère personnel par e-mail ? ».