Failles sur les données des tests Covid : la Cnil met en demeure Francetest pour une sécurisation insuffisante
Alors que 3,9 millions de tests ont encore été validés en septembre, le gendarme des données personnelles a épinglé la plateforme qui transmet les résultats des tests aux services du ministère de la Santé. Une première violation des données avait eu lieu à la fin août.
Alors que les Français ont encore recours aux tests PCR et antigéniques, depuis la mise en place du pass sanitaire le 21 juillet, ces données peuvent attiser l’intérêt des pirates informatiques pour leurs reventes. Or, ce risque demeure toujours selon la Cnil. Le gendarme français des données personnelles a en effet annoncé jeudi avoir mis en demeure la jeune société Francetest, le site qui transmet les résultats de tests Covid réalisés en pharmacie vers la plateforme gouvernementale “SI-DEP”, pour “sécurisation insuffisante” des données de santé.
Alors que ce vendredi marque la fin des tests gratuits dits de “confort” pour convaincre les derniers récalcitrants à la vaccination, ce sont encore 3,9 millions de tests qui ont été validés entre le 13 et le 19 septembre, selon les données de la Direction de la recherche, des études, de l’évaluation et des statistiques (Drees), rattachée au ministère de la Santé.
La fuite de ces données concerne donc des millions d’individus. Mais, à la suite d’un premier rappel, “la Cnil a constaté que la société avait pris certaines mesures pour remédier à la vulnérabilité à l’origine de la violation de données. Cependant, le service Francetest présente toujours plusieurs insuffisances en
Failles sur les données des tests Covid : la Cnil met en demeure Francetest pour une sécurisation insuffisante
matière de sécurité de données”, a indiqué le régulateur dans un communiqué.
”300 officines concernées”
Fin août, une faille de sécurité a déjà rendu accessible les données personnelles (noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale et adresse e-mail) et les résultats de tests de milliers de personnes.
”En conséquence, la présidente de la Cnil a décidé de mettre la société en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu’elle traite pour le compte de centaines de pharmacies. La société dispose d’un délai de deux mois pour faire le nécessaire”, est-il ajouté.
”La société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la Cnil a adressé un courrier à plus de 300 officines concernées”, a-t-elle encore indiqué, afin qu’elles vérifient leur conformité au règlement général sur la protection des données (RGPD) et à l’obligation de sécurité.
Francetest est une société fondée en janvier dernier qui s’est spécialisée dans le transfert de données de tests Covid réalisés en pharmacie vers la plateforme gouvernementale SI-DEP.
Une immense base de données
”Depuis le 17 octobre, les tests antigéniques sont autorisés dans le cadre des dépistages individuels (...) la saisie d’information dans SIDEP pour les professionnels de santé n’est possible que depuis le 16 novembre, et a connu une phase de montée en charge”, explique le site de la Drees.
De fait, la manne de ces données personnelles est colossale, à l’image du pic rencontré l’été dernier. Entre le 26 juillet et le 1er août 2021, plus de 4,1 millions de tests RT-PCR et antigéniques avaient été validés, contre 3,6 millions la semaine précédente, selon les données du ministère de la Santé. On connait même les profils d’âge : “cette augmentation du nombre de tests est concentrée sur les personnes âgées de 65 ans ou moins. En particulier, les 26-40 ans deviennent la catégorie d’âge où les tests sont les plus nombreux”, indiquait le ministère qui exploite les données pseudonymisées du SI-DEP.
Le SI-DEP (système d’informations de dépistage) est une plateforme sécurisée où sont systématiquement enregistrés les résultats de tests Covid-19 afin “de s’assurer que tous les cas positifs sont bien pris en charge” et d’identifier les cas contacts, explique le ministère de la Santé sur son site.
Résultat: nombre de pharmaciens ont recours à des intermédiaires pour rentrer les résultats des tests réalisés dans le SI-DEP. Francetest facture ainsi un euro par transmission, d’après le site d’information Mediapart, qui avait révélé la fuite de données.
Les risques de failles augmentent avec les contrôles sanitaires
Tandis que l’agrégation de données de santé croit à mesure des contrôles sanitaires rendus obligatoires, les risques de faille augmentent aussi.
Début septembre, l’assistance publique hôpitaux de Paris (AP-HP) a subi une cyberattaque qui a permis aux hackers de dérober les tests Covid de 1,4 million de Franciliens avec toutes les données personnelles qui les accompagnaient.
Enfin, si ils deviennent payants, les tests Covid feront toujours partis du quotidiens pour certains foyers. A partir de vendredi, près de 7 millions d’adultes partiellement ou non vaccinés devront ainsi débourser entre 22 et 44 euros pour chaque dépistage leur permettant d’obtenir un pass sanitaire. En 2021, le coût des tests va s’envoler à 6,2 milliards cette année, après 2,2 milliards en 2020.