Par deux délibérations en date des 4 et 11 octobre 2021 (accessibles ici et ici), la CNIL a rendu publique sa mise en demeure de la société FRANCETEST en raison de la sécurisation insuffisante des données de santé.
La société FRANCETEST développe un service à destination des pharmacies qui effectuent des tests antigéniques au COVID-19.
Elle met notamment en œuvre le site internet www.francetest.fr qui permet :
- de simplifier la collecte des données personnelles des patients testés ; et
- l’acheminement des données collectées vers le système d’information national de dépistage (traitement mis en œuvre par le Ministère des solidarités et de la santé, centralisant les résultats de ces tests (le « SI-DEP »).
A ce titre, la société FRANCETEST est en relation d’affaires avec 350 pharmacies et sa base de données comporte des données relatives à plus de 400.000 tests, concernant environ 387.000 personnes uniques.
Parmi les données collectées figurent : le nom, le prénom, l’adresse email, la date de naissance, le numéro de téléphone, le résultat du test (positif ou négatif) et également le NIR des personnes testées.
Le 27 août 2021, la CNIL a été saisie d’un signalement anonyme faisant état d’une faille de sécurité affectant le site internet de la société FRANCETEST.
A l’issue de vérifications en ligne, une vulnérabilité a été constatée en raison d’un défaut de configuration du serveur web entrainant la libre accessibilité de toutes les données personnelles renseignées par les personnes lors de la réalisation d’un test.
La CNIL a effectué un contrôle sur place dans les locaux de la société FRANCETEST afin de vérifier la conformité des traitements de données personnelles mis en œuvre par cette dernière avec le RGPD et la Loi Informatique et Libertés.
Après avoir qualifié la société FRANCETEST de sous-traitant, la CNIL a retenu un manquement à l’article 32 du RGPD.
- Sur la qualification de sous-traitant de la société FRANCETEST
Selon l’article 4, paragraphe 8 du RGPD, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement ».
En l’espèce, la CNIL a estimé que la société FRANCETEST doit être regardée comme sous-traitante des pharmacies car « d’une part, [la société FRANCETEST] ne fait que mettre à disposition les outils, notamment informatiques, choisis par les pharmacies pour faciliter la mise en œuvre du traitement et, d’autre part, agit uniquement au nom et sous la responsabilité des pharmacies ».
- Sur le manquement à l’article 32 du RGPD
L’article 32 du RGPD impose de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Aussi, aux termes du considérant 75 du RGPD, le traitement qui porte sur des données de santé doit bénéficier de mesures de sécurité renforcées.
A ce titre, l’article L.1111-8 du Code de la santé publique prévoit que les données de santé doivent être hébergées par un hébergeur disposant d’un agrément « HDS » délivré par le Ministère des solidarités et de la santé.
En l’espèce, la CNIL a retenu un manquement à l’article 32 du RGPD en raison d’insuffisances en termes de sécurité des données puisque :
- le prestataire hébergeant des données de santé ne disposait pas de l’agrément HDS ;
- les processus d’authentification étaient insuffisamment robustes ;
- la fonction de hachage utilisée était faible ; et
- la journalisation des activités des serveurs du service FRANCETEST était lacunaire.
Tirant les conséquences de ce manquement, la CNIL a mis en demeure la société FRANCETEST de prendre toute mesure pour garantir la sécurité et la confidentialité des données, dans un délai de 2 mois à compter de la notification de la mise en demeure.
En outre, la CNIL a estimé que la publicité de la mise en demeure était justifiée en raison de la sensibilité des données traitées et de la nécessité d’informer les personnes concernées par les traitements en cause ainsi que les organismes ayant recours aux services de la société FRANCETEST.
