Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Francetest mise en demeure par la CNIL de sécuriser les données de santé

Francetest mise en demeure par la CNIL de sécuriser les données de santé

Le 14 octobre 2021 à 07h58

La société est tenue « de sécuriser les données de santé qu’elle collecte pour le compte des pharmacies à l’occasion de tests de dépistage à la COVID-19 », indique à l’instant la délibération de l’autorité.

Ce service d’intermédiation, lancé au premier semestre 2021, a vocation à « simplifier la collecte des données à caractère personnel des patients ayant effectué un test et leur acheminement vers le Système d’information national de dépistage »

Suite à une faille de sécurité signalée en septembre, la délégation a constaté l’exposition d'une base de données concernant 386 970 personnes uniques, avec nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale.

Toujours à l’occasion de ses contrôles, la CNIL a relevé de « multiples insuffisances en termes de sécurité » : l’hébergement de données de santé chez un prestataire sans agrément HDS, « le recours à des processus d’authentification insuffisamment robustes, l’utilisation d’une fonction de hachage faible et une journalisation lacunaire des activités des serveurs ».

La société doit corriger le tir sous deux mois. À défaut, la CNIL pourra s’orienter vers une sanction.

Le 14 octobre 2021 à 07h58

Commentaires (7)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ah oui, c’est pas mal comme insuffisance…

votre avatar

Et c’est très gentil de la part de la CNIL de laisser cette société continuer à exercer dans ces conditions pendant encore 2 mois. Parce que donc pendant encore 2 mois des données de santé vont être stockées chez un hébergeur non agréé…

votre avatar

Je suis retombé sur l’article initial de Mediapart et ça vaut son pesant de cacahuètes sir la faille initiale :




  • site basé sur du WordPress

  • pas de désactivation du listings de l’arborescence du site

  • ce qui a permis de tombé sur un dossier tmp qui contenait toutes les fiches

  • données qui était synchronisé sur le OneDrive perso du (l’unique ?) développeur du site

  • etc…

votre avatar

C’est un peu le souci des sites avec Wordpress et autre truc du genre. C’est tellement facile à mettre en place que tout le monde peut le faire.



Mais quand on s’intéresse à la partie invisible de l’iceberg… là c’est autre chose !

votre avatar

J’arrive toujours à m’étonner de cette différence de traitement entre un individu lambda qui se fait immédiatement sanctionner et ce genre de société qui fait n’importe quoi et à qui on donne de larges délais pour corriger.



À l’heure où le moindre pet de travers est criminalisé, on voit bien dans quel société du mensonge nous baignons.

votre avatar

Mais gros lol. Ca devrait être fermer illico ce genre de bouse, avec très grosse amende et sursis derrière

votre avatar

Qui a choisi ce prestataire en mousse et sur quels critères ? Le prix ? Quand on paye un prix au rabais, on a des prestations au rabais.

Francetest mise en demeure par la CNIL de sécuriser les données de santé

Fermer