Recevez chaque jour toute l'actualité du numérique

x

Francetest sécurise correctement les données de santé liées au dépistage du Covid-19, conclut la Cnil

La société Francetest, éditrice d'une plateforme de transfert des résultats de tests antigéniques pour les pharmacies, est désormais conforme aux obligations du RGPD d'après la Cnil, qui vient de clôturer sa mise en demeure. Elle avait été épinglée à la suite de l'exposition d'une base de 700 000 résultats de tests du Covid-19.
Twitter Facebook Linkedin Flipboard Email
×

Francetest sécurise correctement les données de santé liées au dépistage du Covid-19, conclut la Cnil
Francetest sécurise correctement les données de santé liées au dépistage du Covid-19, conclut la Cnil © Pixabay

La Commission nationale de l'informatique et des libertés (Cnil) a annoncé ce jeudi 27 janvier la clôture de la mise en demeure de Francetest. Cette entreprise édite un logiciel qui facilite le transfert des résultats de tests de dépistage du Covid-19 effectués par les pharmacies vers le fichier SI-DEP (plateforme d'enregistrement des résultats) contre un euro pour transmission. 

Une exposition de 700 000 données
"La société a démontré qu'elle avait mis fin à l'ensemble des insuffisances constatées lors du contrôle en renforçant significativement la sécurité de son traitement", écrit l'autorité. C'est en octobre 2021 que Francetest a été épinglé à la suite d'un signalement anonyme indiquant l'existence d'une violation de sécurité affectant son site. En effet, une faille de sécurité exposait 700 000 résultats de tests antigéniques et les données personnelles des patients. 

A cette époque, la Commission avait constaté que Francetest avait pris "certaines mesures" pour remédier à la vulnérabilité à l'origine de cette violation. Mais elle indiquait que "plusieurs insuffisances en matière de sécurité des données" subsistaient. En effet, les données de santé étaient hébergées par un prestataire ne disposant pas du label "hébergeur de données de santé" (HDS), les processus d'authentification n'étaient pas assez robustes, les procédés "cryptologiques" employés étaient faibles et la journalisation des activités des serveurs lacunaire.

Le choix contestable d'AWS
Francetest avait deux mois pour se mettre en conformité avec les obligations du Règlement général sur la protection des données (RGPD). C'est désormais chose faite, d'après la Cnil. La société a notamment changé son hébergeur de données et a choisi... Amazon Web Services (AWS) qui dispose de l'agrément HDS. Le choix d'un fournisseur américain en plein débat sur les conséquences de l'invalidation du Privacy Shield par le juge européen est contestable. D'autant plus qu'il existe des fournisseurs de cloud français ou européen ayant également l'étiquette HDS tels que OVHcloud, 3DS Outscale ou encore Oodrive. 

La Commission ajoute que Francetest a renforcé la robustesse de ses processus d'authentification et utilise désormais des procédés "cryptologiques" conformes "aux règles de l'art". Elle a également étendu la journalisation de ses serveurs. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.