• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Parcours de soins > Francetest mise en demeure par la Cnil

Francetest mise en demeure par la Cnil

Le 27 août 2021, les données de dépistage COVID-19 de 700 000 patients français étaient exposées en raison d’une faille de sécurité de la plateforme Francetest. Cette dernière n’étant pas homologuée (les données sont hébergées par Amazon Web Services, relevant du Cloud Act américain), la Cnil avait été saisie pour investiguer sur cette violation de données au titre du RGPD. Francetest avait reconnu avoir été alertée le jour-même de la présence d’une faille de sécurité sur ses serveurs mais estimait y avoir remédié “immédiatement”. La décision de la Cnil publiée ce jeudi contredit cette affirmation.

Par Camille Boivigny. Publié le 14 octobre 2021 à 16h18 - Mis à jour le 14 octobre 2021 à 16h19
  • Ressources

La Commission nationale de l’Informatique et des Libertés (Cnil) a annoncé le 14 octobre 2021 la mise en demeure de la société Francetest pour “sécurisation insuffisante des données de santé”. La plateforme collecte nombre de données patients pour le compte des pharmacies à l’occasion de tests de dépistage COVID-19. La présidente de la Cnil, Marie-Laure Denis, s’est elle-même rapprochée de plus de 300 pharmacies afin qu’elles vérifient leur conformité au RGPD.

L’historique

Fin août, la Cnil avait reçu un signalement anonyme indiquant l’existence d’une violation de sécurité affectant le site web édité par une société privée. L’incident portait sur les données exploitées par Francetest dans le cadre de son service de simplification de collecte des données des patients lors de tests antigéniques. Ce dernier visait à faciliter la transmission des résultats vers la plateforme SI-DEP (fichier mis en œuvre par le ministère des Solidarités et de la Santé pour centraliser les résultats des tests).

La décision

Dans sa décision du 4 octobre 2021 publiée ce jour, La Commission précise avoir mené des contrôles en ligne ainsi qu’au sein des locaux de la société “afin d’enquêter sur les circonstances” de l’incident et “vérifier les mesures prises pour assurer la sécurité des données”. La base de données exposée concernait 386 970 personnes et comportait leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale (NIR). La Cnil constate que certaines mesures ont été prises pour remédier à la vulnérabilité à l’origine de la violation de données. Elle note toutefois que “le service Francetest présente toujours plusieurs insuffisances en matière de sécurité de données. Les données de santé sont hébergées chez un prestataire ne disposant pas d’un agrément HDS (hébergement de données de santé), les processus d’authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l’outil) des activités des serveurs est lacunaire”. 

Les conséquences

A la vue de ces manquements, la présidente de la Cnil a décidé de mettre la société en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu’elle traite pour le compte de centaines de pharmacies. La société dispose d’un délai de deux mois pour faire le nécessaire. Cette décision a été rendue publique “compte tenu de la sensibilité des données traitées et de la nécessité d’informer l’ensemble des personnes concernées par les traitements en cause sur l’existence de manquements persistants à la sécurité des données”. Par ailleurs, la société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la Cnil a adressé un courrier à plus de 300 officines concernées

Dans les semaines à venir, un projet de référentiel relatif aux traitements de données personnelles destinés à la gestion des officines de pharmacie sera soumis à une consultation publique sur le site web de la Cnil.

Camille Boivigny
  • base de données
  • CNIL
  • COVID-19
  • Cybersécurité
  • Données de santé
  • Données privées
  • hébergeurs
  • Patient
  • Pharmacie
  • Plateformes
  • Règlementaire
  • RGPD

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

La CNIL propose une auto-évaluation de maturité en gestion de la protection des données

L'Autorité de la concurrence enquête sur l'exploitation des données en pharmacie
Droit Devant

Du HDH au COVID-19, la Cnil sur tous les fronts en 2020

La Cnil renforce l'accompagnement de quatre lauréats de son appel à projets données personnelles

La Cnil publie des recommandations provisoires pour les essais cliniques durant la crise
Droit Devant

Retours de la Cnil sur l’application du RGPD dans les essais cliniques dans le contexte de pandémie

La Cnil ouvre à commentaires un projet de référentiel pour la création d'EDS
Droit Devant

Les données de santé resteront cette année dans le viseur de la Cnil
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email