Tests Covid : des centaines de pharmacies sécurisent mal les données des patients

Si une pharmacie vous demande de vous inscrire sur la plateforme Francetest au moment de réaliser un test de dépistage antigénique du Covid-19, mieux vaut passer votre chemin. 

Un mois et demi après la révélation par Mediapart des graves négligences de ce prestataire informatique spécialisé dans la collecte et la transmission des résultats de tests, la Commission nationale de l'informatique et des libertés (Cnil) a mis en demeure la jeune entreprise pour sécurisation insuffisante des données de santé.

Fin août, le site d'investigation avait révélé une faille de sécurité qui a exposé les données personnelles (nom, prénom, adresse, mail, date de naissance, téléphone) et de santé (numéro de sécurité sociale et résultats de tests) de près de 400.000 personnes. 

Ces informations sont potentiellement restées accessibles durant plusieurs semaines, la jeune entreprise ayant débuté en juin son activité consistant à proposer aux pharmaciens de rentrer les résultats des tests réalisés au sein de leurs officines dans le système national SI-DEP, puis de les transmettre aux patients concernés moyennant un euro par test traité.

Ce sous-traitant ne sécurise toujours pas les données des patients

Alertée par un signalement anonyme, la Cnil a mené des contrôles en ligne et dans les locaux de la société qui ont permis de constater que la violation de données concerne précisément 386.970 personnes. La Commission a également observé que le service fourni par Francetest comporte toujours plusieurs insuffisances en matière de sécurité des données.

"Les données de santé sont hébergées chez un prestataire ne disposant pas d’un agrément HDS (hébergement de données de santé), les processus d’authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l’outil) des activités des serveurs est lacunaire", énumère la Cnil, qui a décidé en conséquence de mettre la société en demeure de prendre les mesures nécessaires pour sécuriser ces informations sous deux mois.

Plus de 300 pharmacies rappelées à l'ordre

La Cnil a également adressé un courrier à plus de 300 pharmacies sous-traitant la collecte et la transmission de résultats de tests antigéniques à Francetest pour leur rappeler l'importance d'assurer la sécurité des données de santé et leurs obligations concernant l'encadrement des relations avec leurs prestataires. 

Les officines ont notamment l'obligation de collaborer avec des prestataires homologués par les autorités, ce qui n'est pas le cas de Francetest qui ne dispose pas d'un agrément pour héberger des données de santé. En l’état, la loi ne prévoit pas de sanction en cas de non respect de la procédure d’habilitation. 

"Dès lors que l’on vise une sanction pénale pour les professionnels de santé ( pas uniquement les pharmaciens qui dans ce cas précis étaient les principaux utilisateurs du site Francetest) utilisant des services non agréés, il faut passer par la loi et le décret ne suffit pas mais des travaux sont actuellement en cours", explique la Direction générale de la santé (DGS), sollicitée par RTL.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info