COVID-19 : clôture de la mise en demeure à l’encontre de la société Francetest
Par décision du 26 janvier 2022, la présidente de la CNIL a décidé de clore la mise en demeure du 4 octobre 2021 prononcée à l’encontre de la société Francetest pour sécurisation insuffisante de données de santé.
Les manquements à l’origine de la mise en demeure
Le 14 octobre 2021, la présidente de la CNIL a rendu publique une mise en demeure visant la société Francetest qui avait pour objet la sécurité des données traitées par cette société pour le compte des pharmacies à l’occasion de tests de dépistage à la COVID-19.
À la suite d’un signalement anonyme indiquant l’existence d’une violation de sécurité affectant le service proposé par Francetest pour simplifier la collecte des données des patients effectuant des tests antigéniques au SARS-CoV-2 et faciliter leur transmission vers la plateforme SI-DEP (fichier mis en œuvre par le ministère des Solidarités et de la Santé pour centraliser les résultats des tests), la CNIL avait procédé à des contrôles en ligne et dans les locaux de la société.
Elle avait constaté que la base de données exposée concernait 386 970 personnes uniques et comportait leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale (NIR).
Elle avait également constaté que la société avait pris certaines mesures pour remédier à la vulnérabilité à l’origine de la violation de données mais que le service Francetest présentait encore de nombreuses insuffisances en matière de sécurité au jour du contrôle.
Afin de garantir la sécurité des données de santé traitées par Francetest et éviter de les exposer à un nouveau risque de compromission, la présidente de la CNIL avait mis la société en demeure de se conformer au RGPD sous un délai de deux mois.
Les actions de Francetest pour se mettre en conformité
Dans ce cadre, la société a démontré qu’elle a mis fin à l’ensemble des insuffisances constatées lors du contrôle en renforçant significativement la sécurité de son traitement.
La société a ainsi, notamment, changé l’hébergement de ses données de santé et recourt désormais à un prestataire disposant d’un agrément « Hébergement de Données de Santé » (HDS). Par ailleurs, elle a renforcé la robustesse de ses processus d’authentification et utilise désormais des procédés cryptologiques conformes aux règles de l’art. Enfin, elle a étendu la journalisation (enregistrement des actions des personnes accédant à l’outil) des serveurs du service Francetest.
Le 26 janvier 2022, la présidente de la CNIL a donc clos la mise en demeure.
