Le ministère des solidarités et de la santé centralise les résultats des tests de dépistage du Covid-19 sur la plateforme SI-DEP.
La société FRANCETEST a développé un service à destination des pharmacies qui effectuent des tests antigéniques ; ce service simplifie la collecte des données à caractère personnel des patients ayant effectué un test et leur acheminement vers la plateforme SI-DEP.
Un signalement anonyme auprès des services de la CNIL, en août 2021, faisait état d’une faille de sécurité affectant le site web « francetest.fr » et offrant un accès à des données renseignées par les patients lors de la réalisation d’un test en pharmacie.
Le représentant de la société FRANCETEST a indiqué avoir fait diligences pour corriger la vulnérabilité en rendant le fichier en question inaccessible et avoir notifié la violation de données à caractère personnel à la CNIL, comme le lui impose le fameux RGPD.
La CNIL a toutefois rappelé que tout traitement qui porte sur des données de santé, doit bénéficier de mesures de sécurité renforcées, compte tenu de leur caractère « sensible » au sens du Règlement. A ce titre elles doivent être hébergées chez un hébergeur disposant d’un agrément délivré par le ministère des Solidarités et de la Santé (« Agrément HDS »).
Or, la délégation de contrôle de la CNIL a constaté lors du contrôle sur place que
- Si la société FRANCETEST avait certes pris des mesures pour corriger le défaut de sécurité qui était à l’origine de la violation de données lorsqu’elle en avait eu connaissance,
- De multiples insuffisances en termes de sécurité avaient été constatées et concernent, notamment :
- L’hébergement de données de santé chez un prestataire ne disposant pas d’un agrément HDS,
- Le recours à des processus d’authentification insuffisamment robustes,
- L’utilisation d’une fonction de hachage faible,
- et une journalisation lacunaire des activités des serveurs de son service.
En conséquence, la CNIL a mis en demeure la société FRANCETEST, sous un délai de deux (2) mois à compter de la notification de la décision, de justifier avoir pris toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées.
A l’issue de ce délai, si elle ne s’est pas conformée à cette mise en demeure, un rapporteur de la CNIL sera désigné pour demander à la formation restreinte de prononcer l’une des mesures prévues par la loi.
Rappelons que dans cette hypothèse il peut être notamment prononcé:
- Une limitation temporaire ou définitive du service,
- Une amende administrative pouvant représenter jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise concernée.
Maître Sophie LALANDE est à votre disposition pour vous accompagner dans vos démarches pour la sécurisation de vos traitements de données de santé.