1. Accueil
  2. Actu
  3. Tech
  4. Coronavirus : 700.000 résultats de tests antigéniques accessibles en ligne durant des mois
3 min de lecture

Coronavirus : 700.000 résultats de tests antigéniques accessibles en ligne durant des mois

Mediapart a découvert que des centaines de milliers de formulaires étaient accessibles sur le site d'un prestataire de pharmacies non homologué par les autorités sanitaires. La faille aurait été corrigée mais les conséquences de ces négligences restent à déterminer.

Un membre de la Sécurité civile réalise un test antigénique.
Un membre de la Sécurité civile réalise un test antigénique.
Crédit : Sameer Al-DOUMY / AFP
Benjamin Hue
Benjamin Hue

Une série de négligences a exposé les données de santé de centaines de milliers de Français. Le site d’investigation Mediapart a révélé ce mardi 31 août que plus de 700.000 résultats de tests antigéniques effectués en pharmacies pour détecter une infection au coronavirus sont restés accessibles en ligne durant plusieurs mois sur le site d’un prestataire informatique. 

L’enquête de Mediapart épingle le rôle de la plateforme FranceTest qui propose aux pharmaciens d’envoyer les résultats des tests réalisés dans leurs établissements vers la base de données nationale SI-DEP mais aussi aux patients de récupérer les documents relatifs à leurs résultats de dépistage. 

Selon le site d’investigation, une patiente a découvert qu’il était possible de naviguer au sein de l’arborescence du site Internet de FranceTest en toute liberté, une opération normalement impossible sur un site sécurisé. Elle a ainsi pu accéder à une vingtaine de fichiers, récupérer des identifiants et consulter les résultats de tests des patients, des formulaires qui comportent de nombreuses informations personnelles :  nom, prénom, genre, date de naissance, numéro de sécurité sociale, adresse email, numéro de téléphone, adresse postale.  

La patiente a aussi découvert qu'une sauvegarde automatique des données du site était effectuée sur le compte Google Drive de son fondateur et que les données des patients n'étaient pas automatiquement supprimées après un délai de six mois, comme l'exige la loi. Mediapart aurait trouvé dans la base des données remontant au mois de mars. L'entreprise FranceTest a été enregistrée dans les registres officiels en juin dernier.

Un audit en cours pour déterminer si des données ont fuité

À lire aussi

Interrogé par Mediapart, FranceTest a reconnu les défauts de sécurisation de sa plateforme, expliquant avoir été débordé par l'explosion des tests réalisés après l'extension du passe sanitaire cet été. L'entreprise assure que les failles ont été corrigées entre le 27 et le 30 août. Les conséquences de ces négligences sont pour l’instant difficiles à déterminer. Des experts en sécurité informatiques auditent actuellement l'entreprise pour vérifier si ces failles ont été exploitées par des tiers pour exfiltrer les données.

Si une fuite de données est avérée, FranceTest sera tenu de la notifier à la Commission nationale de l’informatique et des libertés (Cnil) dans un délai de 72 heures. Les patients concernés devraient également être prévenus par l’entreprise, la fuite présentant a priori un risque élevé au regard des données sensibles qui sont impliquées. L'entreprise s'expose en outre à des poursuites s'il est avéré qu'elle a hébergé des données de santé sans disposer des certifications nécessaires.

En attendant les résultats de l’enquête, la Direction générale de la santé (DGS) a d’ores et déjà rappelé aux pharmacies la nécessité de collaborer avec des prestataires homologués par les autorités. Ce qui n’était pas le cas de l’entreprise FranceTest, qui avait seulement déposé une demande en ce sens auprès de la DGS. En l’état, la loi ne prévoit pas de sanction en cas de non respect de la procédure d’habilitation. Mais des travaux sont en cours pour modifier ce point dans le décret SI-DEP, indique Mediapart

Pas de preuve de fuite de données, selon FranceTest

Sollicitée par RTL, la société FranceTest assure que l'incident est techniquement clôturé et qu'il n'existe pas d'élément permettant de penser qu'une fuite de données personnelles de patients a eu lieu. L'entreprise affirme qu'aucune sauvegarde de données de patients n'a eu lieu sur Google Drive, seulement un backup des données de l'application. FranceTest dit avoir notifié la Cnil et être en train d'informer les pharmaciens et patients concernés par l'incident. L'audit de ses serveurs est toujours en cours.

La rédaction vous recommande

Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires.
Cette inscription sera valable sur le site RTL.fr.

Signaler un commentaire

En Direct
/