Depuis l’émergence du Covid-19, et des outils informatiques qui accompagnent la lutte contre le virus, la protection des données de santé des Français est au cœur de toutes les préoccupations. Il faut dire que les différents outils, comme TousAntiCovid pour ne citer que lui, stockent des informations sensibles sur les utilisateurs, notamment lorsqu’il s’agit de résultats de tests PCR ou antigéniques.
En août dernier, une importante faille informatique de la société privée FranceTest avait été mise en lumière par Mediapart. L’enquête du média français révélait entre autres que les résultats de 700 000 tests antigéniques réalisés en pharmacie étaient accessibles. En réponse, la firme avait annoncé avoir “requis l’assistance d’experts en cybersécurité” pour garantir la confidentialité des données récoltées par l’outil, utilisé dans certaines pharmacies françaises pour faire le lien avec la plateforme gouvernementale.
Des prénoms, numéros de téléphone et résultats
Sur la base de données exposée, on retrouvait les informations de “386 970 personnes uniques” selon la CNIL ; plus précisément “leur nom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale”. Il va s’en dire qu’entre de mauvaises mains, ces informations peuvent mettre les personnes concernées dans une situation critique, en les rendant vulnérables aux fraudes et autres méfaits.
Dans son communiqué, la CNIL explique ainsi que les personnes exposées ont encouru le risque que leurs données soient utilisées à des fins illicites, notamment du hameçonnage ou qu’elles soient tout simplement revendues à des tiers.
Une mise en demeure
Après avoir été notifiée par la CNIL, l’entreprise strasbourgeoise avait deux mois pour “mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”.
Visiblement, les efforts de l’entreprise n’ont pas été suffisants et la Commission Nationale Informatique et Liberté a décidé de la mettre en demeure. L’institution pointe “de multiples insuffisances en termes de sécurité et notamment l’hébergement de données de santé chez un prestataire ne disposant pas d’un agrément HDS (agrément pour hébergement des données de santé ndlr).” Elle souligne également des processus d’identification peu robustes.
FranceTest a donc deux mois pour se conformer aux exigences de la CNIL. Parallèlement, des courriers ont été envoyés aux 350 pharmacies qui collaborent avec le sous-traitant rapporte Le Monde.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.