La société est tenue « de sécuriser les données de santé qu’elle collecte pour le compte des pharmacies à l’occasion de tests de dépistage à la COVID-19 », indique à l’instant la délibération de l’autorité.
Ce service d’intermédiation, lancé au premier semestre 2021, a vocation à « simplifier la collecte des données à caractère personnel des patients ayant effectué un test et leur acheminement vers le Système d’information national de dépistage »
Suite à une faille de sécurité signalée en septembre, la délégation a constaté l’exposition d'une base de données concernant 386 970 personnes uniques, avec nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale.
Toujours à l’occasion de ses contrôles, la CNIL a relevé de « multiples insuffisances en termes de sécurité » : l’hébergement de données de santé chez un prestataire sans agrément HDS, « le recours à des processus d’authentification insuffisamment robustes, l’utilisation d’une fonction de hachage faible et une journalisation lacunaire des activités des serveurs ».
La société doit corriger le tir sous deux mois. À défaut, la CNIL pourra s’orienter vers une sanction.
Commentaires (7)
#1
Ah oui, c’est pas mal comme insuffisance…
#2
Et c’est très gentil de la part de la CNIL de laisser cette société continuer à exercer dans ces conditions pendant encore 2 mois. Parce que donc pendant encore 2 mois des données de santé vont être stockées chez un hébergeur non agréé…
#3
Je suis retombé sur l’article initial de Mediapart et ça vaut son pesant de cacahuètes sir la faille initiale :
#3.1
C’est un peu le souci des sites avec Wordpress et autre truc du genre. C’est tellement facile à mettre en place que tout le monde peut le faire.
Mais quand on s’intéresse à la partie invisible de l’iceberg… là c’est autre chose !
#4
J’arrive toujours à m’étonner de cette différence de traitement entre un individu lambda qui se fait immédiatement sanctionner et ce genre de société qui fait n’importe quoi et à qui on donne de larges délais pour corriger.
À l’heure où le moindre pet de travers est criminalisé, on voit bien dans quel société du mensonge nous baignons.
#5
Mais gros lol. Ca devrait être fermer illico ce genre de bouse, avec très grosse amende et sursis derrière
#6
Qui a choisi ce prestataire en mousse et sur quels critères ? Le prix ? Quand on paye un prix au rabais, on a des prestations au rabais.