Tests Covid : des centaines de pharmacies sécurisent mal les données des patients

React

La Cnil a mis en demeure la société Francetest de sécuriser les données de santé qu’elle collecte pour le compte des pharmacies lors des tests de dépistage du Covid-19. Plus de 300 officines sont rappelées à l’ordre pour leur collaboration avec ce sous-traitant négligent.

Si une pharmacie vous demande de vous inscrire sur la plateforme Francetest au moment de réaliser un test de dépistage antigénique du Covid-19, mieux vaut passer votre chemin. 

Un mois et demi après la révélation par Mediapart des graves négligences de ce prestataire informatique spécialisé dans la collecte et la transmission des résultats de tests, la Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure la jeune entreprise pour sécurisation insuffisante des données de santé.

Fin août, le site d’investigation avait révélé une faille de sécurité qui a exposé les données personnelles (nom, prénom, adresse, mail, date de naissance, téléphone) et de santé (numéro de sécurité sociale et résultats de tests) de près de 400.000 personnes. 

Ces informations sont potentiellement restées accessibles durant plusieurs semaines, la jeune entreprise ayant débuté en juin son activité consistant à proposer aux pharmaciens de rentrer les résultats des tests réalisés au sein de leurs officines dans le système national SI-DEP, puis de les transmettre aux patients concernés moyennant un euro par test traité.

Ce sous-traitant ne sécurise toujours pas les données des patients

Alertée par un signalement anonyme, la Cnil a mené des contrôles en ligne et dans les locaux de la société qui ont permis de constater que la violation de données concerne précisément 386.970 personnes. La Commission a également observé que le service fourni par Francetest comporte toujours plusieurs insuffisances en matière de sécurité des données.

« Les données de santé sont hébergées chez un prestataire ne disposant pas d’un agrément HDS (hébergement de données de santé), les processus d’authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l’outil) des activités des serveurs est lacunaire », énumère la Cnil, qui a décidé en conséquence de mettre la société en demeure de prendre les mesures nécessaires pour sécuriser ces informations sous deux mois.

Plus de 300 pharmacies rappelées à l’ordre

La Cnil a également adressé un courrier à plus de 300 pharmacies sous-traitant la collecte et la transmission de résultats de tests antigéniques à Francetest pour leur rappeler l’importance d’assurer la sécurité des données de santé et leurs obligations concernant l’encadrement des relations avec leurs prestataires. 

Les officines ont notamment l’obligation de collaborer avec des prestataires homologués par les autorités, ce qui n’est pas le cas de Francetest qui ne dispose pas d’un agrément pour héberger des données de santé. En l’état, la loi ne prévoit pas de sanction en cas de non respect de la procédure d’habilitation. Mais des travaux sont en cours pour modifier ce point dans le décret SI-DEP, indiquait Mediapart fin août. Nous avons sollicité la Direction générale de la santé pour connaître leur avancée.

Source :http://rtl.fr