La Commission nationale de l'informatique et des libertés (CNIL), gendarme français des données personnelles, a annoncé le 14 octobre avoir mis en demeure la jeune société Francetest pour «sécurisation insuffisante» des données de santé. Il s'agit d'un site transmettant les résultats de tests Covid réalisés en pharmacie vers la plateforme gouvernementale.
Cette décision fait suite à la révélation fin août d'une faille de sécurité ayant rendu accessible les données personnelles (noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale et adresse e-mail) et les résultats de tests de milliers de personnes.
Le service Francetest présente toujours plusieurs insuffisances en matière de sécurité de données
Dans un communiqué, le régulateur s'est exprimé sur la situation comme suit : «La CNIL a constaté que la société avait pris certaines mesures pour remédier à la vulnérabilité à l’origine de la violation de données. Cependant, le service Francetest présente toujours plusieurs insuffisances en matière de sécurité de données [...] En conséquence, la présidente de la CNIL a décidé de mettre la société en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu'elle traite pour le compte de centaines de pharmacies. La société dispose d'un délai de deux mois pour faire le nécessaire.»
Francetest est une société fondée en janvier dernier, spécialisée dans le transfert de données de tests Covid réalisés en pharmacie vers la plateforme gouvernementale SI-DEP. Le SI-DEP (système d'informations de dépistage) est une plateforme sécurisée où sont systématiquement enregistrés les résultats de tests Covid-19 afin «de s'assurer que tous les cas positifs sont bien pris en charge» et d'identifier les cas contacts, explique le ministère de la Santé sur son site. Résultat : nombre de pharmaciens ont recours à des intermédiaires pour rentrer les résultats des tests réalisés dans le SI-DEP. Francetest facture ainsi un euro par transmission, d'après le site d'information Mediapart, qui avait révélé la fuite de données.
«La société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la CNIL a adressé un courrier à plus de 300 officines concernées» afin que celles-ci vérifient leur conformité au règlement général sur la protection des données (RGPD) et à l'obligation de sécurité, a encore indiqué l'autorité administrative indépendante.