Actualités de l'Urgence - APM

14/10 2021
Retour

CYBERSÉCURITÉ: LA CNIL MET EN DEMEURE LA SOCIÉTÉ FRANCETEST

PARIS, 14 octobre 2021 (APMnews) - La Commission nationale de l'informatique et des libertés (Cnil) a annoncé jeudi matin la mise en demeure de la société Francetest, qui avait rendu accessibles 700.000 résultats de tests antigéniques fin août après une faille dans son logiciel de transmission au système d'information de dépistage (Sidep).

Quelque 700.000 données personnelles de santé et résultats de tests antigéniques "de plusieurs centaines de milliers" de patients ont été rendus accessibles en ligne "pendant plusieurs mois" en raison d'une faille de sécurité dans le logiciel de transmission à Sidep des résultats de tests édité par la société Francetest, rapportait le 27 août Mediapart (cf dépêche du 01/09/2021 à 12:57).

Résultats de tests, nom, prénom, genre, date de naissance, numéro de sécurité sociale, adresse de courrier électronique, numéro de téléphone et adresse postale du patient étaient ainsi accessibles en quelques clics.

C'est une patiente qui avait découvert cela après avoir consulté ses propres résultats de test via le lien fourni par son pharmacien. Disposant de bonnes connaissances en informatique, elle a remarqué plusieurs incohérences dans l'URL, à commencer par la mention "wp-content" signifiant "contenu WordPress", un outil de création de sites internet gratuit.

En raccourcissant l'URL, elle a ainsi pu "remonter dans l'arborescence" du site qui n'était pas suffisamment sécurisé pour l'en empêcher et consulter, en clair, "plusieurs fichiers particulièrement sensibles et permettant d'accéder à de nombreuses données".

Le 27 août, la Cnil rapporte avoir reçu "un signalement anonyme" l'informant de l'existence d'une violation de sécurité affectant le site web de Francetest.

"La Cnil a mené des contrôles en ligne et dans les locaux de la société afin d'enquêter sur les circonstances de cette violation de données et vérifier les mesures prises pour assurer la sécurité des données. La base de données exposée concernait 386.970 personnes", a fait savoir la commission.

Deux mois pour sécuriser le service

Même si la Cnil concède que la société "a pris certaines mesures pour remédier à la vulnérabilité à l'origine de la violation de données", elle a jugé que le service Francetest présentait toujours "plusieurs insuffisances en matière de sécurité de données".

"Les données de santé sont hébergées chez un prestataire ne disposant pas d'un agrément HDS [hébergement de données de santé], les processus d'authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l'outil) des activités des serveurs est lacunaire", a énuméré la Cnil.

Sa présidente, Marie-Laure Denis, a ainsi décidé de mettre la société "en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu'elle traite pour le compte de centaines de pharmacies".

Francetest dispose d'un délai de deux mois pour faire le nécessaire.

Compte tenu de la sensibilité des données traitées et de la nécessité d'informer l'ensemble des personnes concernées par les traitements en cause sur l'existence de manquements persistants à la sécurité des données, cette mise en demeure a été rendue publique par la Cnil.

Par ailleurs, la société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la Cnil a adressé un courrier à plus de 300 officines concernées.

La présidente y rappelle notamment l'importance d'assurer la sécurité des données de santé et leurs obligations concernant l'encadrement des relations avec leurs prestataires.

Pour rappel, le logiciel de Francetest n'est pas homologué par le ministère des solidarités et de la santé, qui tient à jour une liste des solutions conformes sur son site.

Fin août, le ministère a indiqué à APMnews mener "des travaux pour modifier le décret Sidep du 12 mai 2020 [cf dépêche du 13/05/2020 à 15:19] afin d'encadrer les systèmes tiers autorisés à alimenter Sidep", et notamment d'inclure "un volet sanctions".

Décision de la Cnil du 4 octobre 2021 mettant en demeure la société Francetest

Délibération du bureau de la Cnil du 11 octobre 2021 décidant de rendre publique la mise en demeure prise à l'encontre de la société Francetest

wz/nc/APMnews

Les données APM Santé sont la propriété de APM International. Toute copie, republication ou redistribution des données APM Santé, notamment via la mise en antémémoire, l'encadrement ou des moyens similaires, est expressément interdite sans l'accord préalable écrit de APM. APM ne sera pas responsable des erreurs ou des retards dans les données ou de toutes actions entreprises en fonction de celles-ci ou toutes décisions prises sur la base du service. APM, APM Santé et le logo APM International, sont des marques d'APM International dans le monde. Pour de plus amples informations sur les autres services d'APM, veuillez consulter le site Web public d'APM à l'adresse www.apmnews.com

Copyright © APM-Santé - Tous droits réservés.

Informations professionnelles

14/10 2021
Retour

CYBERSÉCURITÉ: LA CNIL MET EN DEMEURE LA SOCIÉTÉ FRANCETEST

PARIS, 14 octobre 2021 (APMnews) - La Commission nationale de l'informatique et des libertés (Cnil) a annoncé jeudi matin la mise en demeure de la société Francetest, qui avait rendu accessibles 700.000 résultats de tests antigéniques fin août après une faille dans son logiciel de transmission au système d'information de dépistage (Sidep).

Quelque 700.000 données personnelles de santé et résultats de tests antigéniques "de plusieurs centaines de milliers" de patients ont été rendus accessibles en ligne "pendant plusieurs mois" en raison d'une faille de sécurité dans le logiciel de transmission à Sidep des résultats de tests édité par la société Francetest, rapportait le 27 août Mediapart (cf dépêche du 01/09/2021 à 12:57).

Résultats de tests, nom, prénom, genre, date de naissance, numéro de sécurité sociale, adresse de courrier électronique, numéro de téléphone et adresse postale du patient étaient ainsi accessibles en quelques clics.

C'est une patiente qui avait découvert cela après avoir consulté ses propres résultats de test via le lien fourni par son pharmacien. Disposant de bonnes connaissances en informatique, elle a remarqué plusieurs incohérences dans l'URL, à commencer par la mention "wp-content" signifiant "contenu WordPress", un outil de création de sites internet gratuit.

En raccourcissant l'URL, elle a ainsi pu "remonter dans l'arborescence" du site qui n'était pas suffisamment sécurisé pour l'en empêcher et consulter, en clair, "plusieurs fichiers particulièrement sensibles et permettant d'accéder à de nombreuses données".

Le 27 août, la Cnil rapporte avoir reçu "un signalement anonyme" l'informant de l'existence d'une violation de sécurité affectant le site web de Francetest.

"La Cnil a mené des contrôles en ligne et dans les locaux de la société afin d'enquêter sur les circonstances de cette violation de données et vérifier les mesures prises pour assurer la sécurité des données. La base de données exposée concernait 386.970 personnes", a fait savoir la commission.

Deux mois pour sécuriser le service

Même si la Cnil concède que la société "a pris certaines mesures pour remédier à la vulnérabilité à l'origine de la violation de données", elle a jugé que le service Francetest présentait toujours "plusieurs insuffisances en matière de sécurité de données".

"Les données de santé sont hébergées chez un prestataire ne disposant pas d'un agrément HDS [hébergement de données de santé], les processus d'authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l'outil) des activités des serveurs est lacunaire", a énuméré la Cnil.

Sa présidente, Marie-Laure Denis, a ainsi décidé de mettre la société "en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu'elle traite pour le compte de centaines de pharmacies".

Francetest dispose d'un délai de deux mois pour faire le nécessaire.

Compte tenu de la sensibilité des données traitées et de la nécessité d'informer l'ensemble des personnes concernées par les traitements en cause sur l'existence de manquements persistants à la sécurité des données, cette mise en demeure a été rendue publique par la Cnil.

Par ailleurs, la société Francetest étant sous-traitante de centaines de pharmacies responsables de la réalisation opérationnelle des tests antigéniques, la Cnil a adressé un courrier à plus de 300 officines concernées.

La présidente y rappelle notamment l'importance d'assurer la sécurité des données de santé et leurs obligations concernant l'encadrement des relations avec leurs prestataires.

Pour rappel, le logiciel de Francetest n'est pas homologué par le ministère des solidarités et de la santé, qui tient à jour une liste des solutions conformes sur son site.

Fin août, le ministère a indiqué à APMnews mener "des travaux pour modifier le décret Sidep du 12 mai 2020 [cf dépêche du 13/05/2020 à 15:19] afin d'encadrer les systèmes tiers autorisés à alimenter Sidep", et notamment d'inclure "un volet sanctions".

Décision de la Cnil du 4 octobre 2021 mettant en demeure la société Francetest

Délibération du bureau de la Cnil du 11 octobre 2021 décidant de rendre publique la mise en demeure prise à l'encontre de la société Francetest

wz/nc/APMnews

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites.