La CNIL a mis en demeure la société FRANCETEST, éditeur de « FRANCETEST.FR », le 4 octobre 2021, pour des manquements relatifs au RGPD, notamment l’obligation de sécuriser les données.

La société FRANCETEST, qui a été créée quelques mois plus tôt, en août 2021, lorsque le Pass Sanitaire a été étendu à l’ensemble des lieux en France, édite une solution en ligne à destination des pharmacies pour leur permettre de collecter les données de santé de leurs patients souhaitant effectuer des tests antigéniques au SARS-CoV-2 (COVID). La solution permet aussi de transférer les données des patients vers le système national de dépistage (SI-DEP).

La solution, qui était utilisée par 350 pharmacies, a rencontré une faille de sécurité, suite à un dysfonctionnement d’une des fonctionnalités du site, qui a conduit, le 27 août 2021, à la divulgation de données personnelles de plus de 300 000 patients.

La CNIL reproche à la société de ne pas avoir pris des mesures de sécurité adaptées[1], notamment :

  • l’hébergement de données de santé chez un hébergeur non agréé[2] ;
  • l’utilisation d’une authentification trop faible[3] ;
  • l’utilisation d’une fonction de hachage trop faible[4] ;
  • la journalisation « lacunaire » des serveurs ;

La CNIL a accordé un délai de deux mois à la société pour se mettre en conformité.

Aucune amende n’a été prononcée contre la société.

Lire :

Ma réaction à cette décision

La décision extrêmement clémente de la CNIL est incompréhensible : un simple rappel à l’ordre et un délai de deux mois pour se mettre en conformité.

Comment la Commission peut accepter qu’une société, qui ne respecte pas les lois ni les exigences minimales de sécurité, continue de traiter les données de santé des patients ? La CNIL aurait dû exiger, au minimum, l’arrêt du traitement jusqu’à que la société prouve sa conformité.

Cette décision envoie un très mauvais message. Elle indique que n’importe qui peut créer une société, traiter des données de santé sans aucun respect des règles et ne pas être sanctionné. Les sociétés qui traitent des données de santé devraient être auditées en amont pour éviter de telles dérives, surtout que ce n’est pas la première fois que la sécurité d’entreprises gérant des données de santé est douteuse.

Il faut aussi préciser que la société FRANCETEST agit simplement en tant que sous-traitant des pharmacies. Comment les pharmacies peuvent-elles faire confiance au premier venu, sans qu’aucun contrôle ne soit effectué ? Leur responsabilité devrait aussi être engagée.

Notes et références

  1. Le RGPD demande aux responsables de traitement de données à caractère personnelles de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2).
  2. Les données de santé doivent être stockées chez un hébergeur agréé « Hébergeur de Santé » (HDS) (source : Code de la santé publique, article L1111-8).
  3. Les détails de l’authentification n’ont pas été donné, mais l’authentification a vraisemblablement utilisé des mots de passe trop faible. Pour assurer une sécurité adéquate, les mots de passe devraient contenir un certain nombre de caractères et certains caractères spéciaux. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».
  4. Les détails relatifs à la fonction de hachage utilisée n’ont pas été donnés, mais il est fort probable que l’empreinte des mots de passe des utilisateurs était générée avec une fonction de hachage obsolète comme « MD5 » ou « SHA-1 ». Voir « Peut-on utiliser la fonction de hachage MD5 pour enregistrer l’empreinte des mots de passe de ses utilisateurs ? » et « Peut-on utiliser la fonction de hachage SHA-1 pour enregistrer l’empreinte des mots de passe de ses utilisateurs ? ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données