Le site d’information Mediapart a révélé ce mardi 31 août, une fuite de données personnelles massive sur le site Francetest.
Francetest est un site qui transmet les résultats de tests Covid réalisés en pharmacie vers la plateforme gouvernementale SI-DEP (système d’information de dépistage) réalisée par l’AH-HP (Assistance publique – Hôpitaux de Paris).
En effet, ce sont les résultats de tests Covid de plusieurs centaines de milliers de personnes qui ont été durant des mois accessibles à tous en quelques clics en raison d’une faille de sécurité sur la plateforme.
Afin de consulter ses résultats, il était nécessaire d’entrer un mot de passe, « mot de passe trouvable, en clair, dans un dossier accessible à tous ».
Cette faille a engendré un accès à de nombreuses données personnelles telles que le nom, prénom, date de naissance, adresse postale, numéros de téléphone, numéros de sécurité sociale, adresse e-mail et bien évidemment le résultat du testde dépistage.
Cela concernerait les données personnelles d’environ 700 000 personnes.
Et ce d’autant plus que certaines de ces données sont ditessensibles puisqu’elles concernent la santé. A ce titre, la protection de ces données est renforcée dans le RGPD.
Le lendemain de cette révélation, la société Francetest a assuré dans un communiqué avoir « requis l’assistance d’experts en cybersécurité » et avoir informé la CNIL de cette faille de sécurité.
Si la fuite représente « un risque élevé » pour les personnes concernées, l’entreprise devra aussi prévenir chacune d’entre elles individuellement.
Francetest soutient également qu’il « n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées » et qu’il y a « lieu de considérer que cet incident est techniquement clôturé. »
La CNIL a déclaré avoir ouvert une enquête à ce sujet.
A l’issue de cette enquête, la CNIL pourra prononcer des sanctions si elle considère qu’il y a eu une méconnaissance des dispositions du RPGD.
Des sanctions qui peuvent aller du simple rappel à l’ordre à une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.