La CNIL1 a mis en demeure la société FRANCETEST, éditeur de « francetest.fr », le 4 octobre 2021, pour des manquements relatifs au RGPD2, notamment l’obligation de sécuriser des données de santé.

La société, qui a été créée quelques mois plus tôt, en août 2021, lorsque le Pass Sanitaire a été étendu à l’ensemble des lieux en France, édite une solution en ligne à destination des pharmacies pour leur permettre de collecter les données de santé de leurs patients souhaitant effectuer des tests antigéniques au SARS-CoV-2 (COVID) et de les acheminer vers le système national (SI-DEP).

La solution, qui était utilisée par 350 pharmacies, a rencontré une faille de sécurité, suite à un dysfonctionnement d’une des fonctionnalités du site, ce qui a conduit, le 27 août 2021, à la divulgation de données personnelles de plus de 300 000 patients.

La CNIL reproche à la société :

  • des mesures de sécurité inadaptées pour la conservation de données de santé3, notamment une authentification trop faible, l’utilisation d’une fonction de hachage trop faible et une journalisation trop faible ;
  • l’hébergement de données de santé chez un hébergeur non agréé4.

La CNIL a accordé un délai de deux mois à la société pour se mettre en conformité.

Aucune sanction n’a été prononcée contre la société.

Ma réaction à cette décision

La décision extrêmement clémente de la CNIL est incompréhensible : un simple rappel à l’ordre et un délai de deux mois pour se mettre en conformité.

Comment la Commission peut accepter qu’une société, qui ne respecte pas les lois ni les exigences minimales de sécurité, continue de traiter les données des patients ? La CNIL aurait dû exiger, au minimum, l’arrêt du traitement jusqu’à que la société prouve qu’elle s’est mise en conformité.

Cette décision envoie un très mauvais message. Elle indique que n’importe qui peut créer une société, traiter des données de santé sans aucun respect des règles et ne pas être sanctionné.

Les sociétés qui traitent des données de santé devraient être auditées en amont pour éviter de telles dérives, surtout que ce n’est pas la première fois que la sécurité d’entreprises gérant des données de santé soit douteuse5.

Il faut aussi préciser que la société FRANCETEST agit simplement en tant que sous-traitant des pharmacies. Comment les pharmacies peuvent-elles faire confiance au premier venu, sans qu’aucun contrôle ne soit effectué ? Leur responsabilité devrait aussi être engagée.

Lire la décision complète

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. Les entreprises collectant des données à caractère personnel doivent « [mettre] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1).
  4. Les données de santé doivent être stockées chez un hébergeur agréé HDS (Hébergeur de Santé) (source : Code de la santé publique, article L1111-8).
  5. Le traitement des données de santé des laboratoires BIOGROUP est également douteux. Une procédure a été engagée contre eux pour dénoncer le manque de sécurité. Voir « Une plainte déposée contre les laboratoires Biogroup car les données de santé de millions de patients sont transmises par e-mail sans réelle sécurité ».