Partager:
La fuite potentielle de centaines de milliers de résultats de tests, avec noms et numéros de Sécurité sociale, via un site prestataire de pharmacies illustre l'arrivée en masse de nouveaux venus dans le secteur ultra-réglementé de la santé pendant la pandémie.
La société mise en cause, et qui fait désormais l'objet d'une enquête de la Cnil, Francetest, propose aux pharmacies de transmettre les données des tests covid qu'elles réalisent à la plateforme gouvernementale SI-DEP, pour leur éviter d'avoir à rentrer à chaque fois toutes les informations personnelles du patient, en plus du résultat du test.
Problème: elle ne fait pas partie des logiciels agréés par la Direction générale de la santé (DGS).
Francetest a été fondée en janvier dernier et enregistrée en août 2021 au greffe de Strasbourg par son fondateur Nathaniel Hayoun, 25 ans, également directeur des opérations d'une société de formation professionnelle (chauffeur VTC, réparation de smartphones, secourisme, ...).
Comme lui, de nombreux entrepreneurs se sont mis spontanément pendant la pandémie à proposer des solutions aux professionnels de santé, parfois sans bien connaître le secteur et ses importantes exigences, notamment en termes de sécurité des données.
Ces derniers mois ont ainsi émergé des start-up proposant un service "clé en main" aux pharmacies et professionnels de la nuit pour installer des barnums de test, avec des méthodes parfois à la limite de la légalité, ou encore des solutions de contrôle du pass sanitaire, avant même l'aval du ministère de la Santé.
"Il y en a juste trop!", dit à l'AFP Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France, qui plaide pour un encadrement de ces nouvelles sociétés au milieu desquelles les professionnels de santé "naviguent à vue".
- Une négligence basique -
"C'est vrai qu'il y a eu une accélération" du nombre de nouvelles entreprises traitant des données dans le domaine de la santé, avec la pandémie, abonde de façon plus générale Isabelle Hilali, fondatrice de la société Datacraft et du think tank Healthcare Data Institute, dédié au "big data" en santé.
Selon elle, la santé attire les jeunes entrepreneurs depuis déjà plusieurs années, "d'abord parce que c'est un domaine qui a du sens, ensuite parce qu'il y a beaucoup de données à traiter, et enfin parce que c'est un marché +bankable+".
Isabelle Hilali estime que la réglementation reste efficace, et que les fuites de données, rares, selon elle, pourraient aussi survenir dans des sociétés plus installées.
"Mais c'est sûr que la taille de l'entreprise, sa structuration, le fait d'avoir une équipe IT (informatique), tout ça réduit les risques", dit-elle.
Dans le cas de Francetest, c'est une négligence très basique qui est en cause, selon ce qu'a révélé Mediapart mardi, et que les enquêtes devront confirmer: l'accès à l'arborescence du site n'avait pas été restreinte, et permettait aux curieux de trouver d'une part "une vingtaine de fichiers" contenant nombre d'informations personnelles et sensibles, notamment le numéro de Sécurité sociale et le résultat des tests, et d'autre part les "identifiants permettant d'accéder à l'ensemble de la base de données du site", soit "plus de 700.000 résultats de tests".
La société "a tout lieu de considérer que cet incident est techniquement clôturé", et dit avoir fait appel à des experts en cybersécurité.
Ce type de défaut de sécurité courant avait d'ailleurs donné lieu en 2014 à une bataille juridique pour savoir si fouiller dans un site "laissé ouvert", pouvait être assimilé à du piratage. En 2015, la Cour de cassation avait confirmé qu'une telle pratique était frauduleuse, et passible de deux ans d'emprisonnement et 60.000 euros d'amende.
Pour l'heure, impossible de savoir si les données personnelles des clients de Francetest ont été consultées ou extraites par d'autres personnes que celle qui a repéré et signalé la faille.
Si des personnes mal intentionnées l'avaient fait, la base de données est susceptible d'être mise en vente sur les plateformes illégales du darknet, véritable marché noir des données personnelles.
Il sera théoriquement possible de savoir si les données exposées ont été téléchargées ou consultées en masse et si le serveur de Francetest a été correctement configuré pour garder une trace des accès aux fichiers.
