La société Biogroup a été informée que la confidentialité des données de santé de leurs patients n’était pas garantie, car les données transitent par e-mail et sont protégées par un mot de passe dont la composition est indiquée, en clair, dans le corps de l’e-mail, à savoir : les trois premières lettres du nom de famille du patient suivies de sa date de naissance.

De nombreux e-mails envoyés par Biogroup contiennent aussi le nom du patient dans l’objet de l’e-mail ce qui diminue davantage la sécurité du dispositif, car le nom du patient est l’une des composantes du mot de passe.

Les données des patients qui peuvent être interceptées sont : les résultats des analyses médicales du patient, le nom et prénom du patient, l’adresse du patient, la date de naissance du patient, le numéro de téléphone du patient, l’adresse e-mail du patient et le nom du médecin ayant prescrit l’analyse.

Événements relatifs à cette alerte :

  • le 29/07/2021, un e-mail a été envoyé au Délégué à la Protection des Données (DPD) de Biogroup pour l’informer que les mesures de sécurité ne sont pas adaptées et pour l’inviter à (i) mieux protéger les données à caractère personnel de leurs patients et (ii) considérer la nécessité d’informer la CNIL et les patients.
  • le 06/08/2021 et le 13/08/2021, des e-mails de relance ont été envoyés au DPD de Biogroup.
  • le 16/08/2021, un e-mail a été reçu du DPD de Biogroup pour indiquer que les informations envoyées ont été transférées aux services concernés pour analyse.
  • le 02/09/2021, un e-mail a été envoyé au DPD de Biogroup pour demander (i) si les éléments remontés ont pu être analysés, (ii) si une modification du traitement des données de santé a été effectuée, (ii) si les patients allaient être informés, et (iii) si la CNIL avait été informée.
  • le 07/09/2021, une plainte, consultable ici a été déposée auprès de la CNIL, référence 28-4900.