Tests anti-Covid : les données de près de 400 000 Français compromises

4 min de lecture

Ce contenu a bien été ajouté à vos favoris

Voir mes favoris

Ce contenu a bien été supprimé de vos favoris

Voir mes favoris

Pour ajouter ce contenu à vos favoris vous devez être connecté(e)

Me connecter

Pour ajouter ce contenu à vos favoris vous devez être abonné(e)

M'abonner
Tente, tests PCR, infirmier,
© Magali Cohen/Hans Lucas via Reuters Connect

C’est une nouvelle preuve des défauts de sécurité de Francetest, révélées par le site d’informations Mediapart le 31 août. La présidente de la Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure cette entreprise, spécialisée dans le transfert de données de tests de dépistage du Covid-19 vers la plateforme SI-DEP, de « prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées », dans une décision rendue publique jeudi 14 octobre.

Société comportant un seul associé et qui « n’emploie aucun salarié », Francetest « développe un service, opérationnel depuis mars 2021, à destination des pharmacies qui effectuent des tests antigéniques », rappelle la présidente Marie-Laure Denis dans le document, disponible sur Légifrance.fr. L’entreprise propose aux officines « de simplifier la collecte de données à caractère personnel des patients ayant effectué un test et leur acheminement vers » le Système d’information national de dépistage populationnel (SI-DEP).

Les données de 386 970 personnes en libre accès

La société « propose soit son service directement aux pharmacies, soit au travers de sociétés intermédiaires qui le distribuent auprès des pharmacies dans le cadre d’une prestation plus large d’accompagnement à la réalisation des tests antigéniques (fourniture d’une tente dédiée aux prélèvements et mise à disposition de personnel en charge de la réalisation des prélèvements, notamment) ». Elle se trouve « en relations d’affaires avec environ 350 pharmacies au total ».

La Cnil avait reçu le 27 août « un signalement anonyme » à propos « d’une faille de sécurité affectant le site web Francetest.fr ». Le même jour, un journaliste avait alerté la société que « des données à caractère personnel étaient librement accessibles dans l’arborescence du site ». L’autorité avait constaté en ligne « l’effectivité et l’ampleur de la violation de données »

Le 9 septembre, « une délégation » de la Cnil avait mené un « contrôle » dans les locaux de Francetest, à Strasbourg, afin « de vérifier la conformité des traitements de données à caractère personnel » utilisés par la société « avec le règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel » (RGPD), et avec la loi informatique et libertés du 6 janvier 1978. Les agents de la Cnil avaient relevé que la « base de données » de l’entreprise comprenait « 436 972 tests concernant 386 970 personnes ». Les nom(s), prénom(s), date de naissance, adresse électronique, numéros de téléphone, l’adresse électronique ainsi que le résultat du test de la totalité de ces personnes étaient mentionnés. Pour 322 337 d’entre elles, le numéro de Sécurité sociale figurait dans la base de données. 

Une vulnérabilité due à « un défaut de configuration du serveur web »

Le représentant de la société avait expliqué à ses interlocuteurs de la Cnil que « la vulnérabilité » était due « à un défaut de configuration du serveur web ». Il avait pris différentes mesures pour répondre à la faille, notamment en éteignant et en redémarrant « le serveur web » et « en rendant le dossier inaccessible ».

Si Francetest se conforme à la « mise en demeure » au terme d’un délai de deux mois, la procédure prendra fin. Dans l’hypothèse où la société ne s’y conforme pas, la Cnil pourra prononcer des sanctions à l’égard de la société.

La publication de sa décision intervient à la veille de l’entrée en vigueur de la fin de la gratuité générale des tests antigéniques et PCR de dépistage du Covid-19. Cette mesure est susceptible d’induire une baisse du nombre de tests.

Le SI-DEP, « une plateforme sécurisée »

Selon le site du ministère des Solidarités et de la santé, SI-DEP « est une plateforme sécurisée où sont systématiquement enregistrés les résultats des laboratoires de tests Covid-19 », visant à « s’assurer que tous les cas positifs sont bien pris en charge ». « SI-DEP repose sur un partenariat entre le ministère des Solidarités et de la Santé (responsable du traitement), l’Assistance publique – Hôpitaux de Paris (AP-HP, maître d’œuvre), Santé publique France, les laboratoires de biologie médicale et leurs éditeurs de système d’information », ajoute le ministère.

A lire aussi