La CNIL s’attaque à Francetest, une société transférant les données des pharmaciens au fichier SI-DEP, le fichier centralisant l’ensemble des données des tests créée en mars 2021. Après avoir reçu un signalement anonyme le 27 août 2021 faisant état d’une faille de sécurité affectant le site web « francetest.fr », la Cnil a décidé d’enquêter. « Des vérifications en ligne conduites le jour même ont permis de constater l’effectivité et l’ampleur de la violation de données et, le 9 septembre 2021, une délégation a procédé à une mission de contrôle sur place dans les locaux de la société (basée à Strasbourg) dans le but de vérifier la conformité des traitements de données à caractère personnel mis en œuvre par cette dernière avec le RGPD et la loi Informatique et Libertés.

Dans sa décision de justice, la Cnil indique que le représentant de la société, Nathaniel Hayoun, a précisé qu’après avoir été alerté le 27 août 2021 par un journaliste que des données à caractère personnel étaient librement accessibles dans l'arborescence du site de Francetest, il a relevé que la vulnérabilité était due à un défaut de configuration du serveur web. La faille permettait d'accéder au contenu du répertoire du module Z « francetest » permettant de gérer les différents services de la société. Dans le répertoire du site était accessible le code source du service, qui contenait notamment les identifiants de connexion à la base de données patients hébergée sur Y ainsi que des extraits au format CSV de cette base, c’est-à-dire dans un format texte directement lisible.

700 000 données de santé vulnérables

Ces extraits comprenaient toutes les données renseignées par les personnes lors de la réalisation d'un test, évoquées ci-avant. La présence de ces fichiers s’explique par un dysfonctionnement d’une des fonctionnalités du site permettant aux pharmaciens de réaliser des exports des données de leurs patients ayant réalisé des tests. Lorsque Nathaniel Hayoun a été alerté de la vulnérabilité, il a indiqué avoir éteint et redémarré le serveur web du service « Francetest » et corrigé la vulnérabilité en rendant le dossier inaccessible. Il a modifié le mot de passe de connexion aux bases de données hébergées chez X et Y. Il a également ajouté des règles de pare-feu pour empêcher la connexion à la base de données depuis d'autres serveurs que ceux dédiés au service « Francetest ».

Ces mesures n’auront cependant pas été suffisantes puisque d’après Mediapart, « plus de 700 000 résultats de tests, et les données personnelles des patients, ont été durant des mois accessibles en quelques clics en raison de failles sur le site de Francetest ». La base de données exposée concernait 386 970 personnes uniques et comportait leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale (NIR).

Toujours des insuffisances

Francetest a pris plusieurs mesures par la suite pour remédier à cette vulnérabilité mais « le service présente toujours plusieurs insuffisances en matière de sécurité de données. Les données de santé sont hébergées chez un prestataire ne disposant pas d’un agrément HDS (hébergement de données de santé), les processus d’authentification ne sont pas assez robustes, les procédés de chiffrement employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l’outil) des activités des serveurs est lacunaire » estime la Cnil.

De fait, la présidente de la Cnil, Marie-Laure Denis, a décidé de mettre la société en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu’elle traite pour le compte de centaines de pharmacies. Il s'agira de prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées et, en particulier, celles visées en annexe de la présente mise en demeure. Dans un second temps, Francetest devra justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti. La société dispose d’un délai de deux mois pour faire le nécessaire.