Fuites de données des tests antigéniques COVID-19 et RGPD

L’importance de la mise en conformité au RGPD pour les professionnels de santé

Dans la droite ligne de sa stratégie de contrôle pour l’année 2021, visant en priorité la cybersécurité du web français et la sécurité des données de santé, la CNIL poursuit sa campagne de contrôle. La CNIL a procédé au contrôle d’acteurs impliqués dans les actions de lutte contre la pandémie de COVID-19 et a mis en lumière de flagrantes violations de sécurité de données de santé. Une illustration supplémentaire de l’obligation pour les professionnels de santé, et les pharmacies, en l’occurrence, de veiller à leur conformité (et celle de leurs sous-traitants) au Règlement Général sur la Protection des Données.

La Société concernée par la violation de sécurité des données : FranceTest

La société FranceTest est l’intermédiaire par lequel passe un très grand nombre de pharmaciens en France pour enregistrer et transmettre les résultats des tests antigéniques COVID-19 dans le logiciel dédié :  SI-Dep. (Système d’Information de Dépistage)

Cette société privée est ainsi sous-traitante de nombreuses pharmacies responsables de la réalisation des tests antigéniques. Des données qui peuvent être qualifiées de données de santé, au sens du Règlement Général de Protection des Données Personnelles (Règl. (UE) 2016/679), 27 avr. 2016,- RGPD).

Après des révélations de la presse française, et un signalement anonyme reçu par la Commission Nationale Informatique et Libertés (CNIL), la société a admis, en août 2021, qu’il existait une faille informatique dans son système, qui rendait accessibles quelques 700 000 résultats de tests antigéniques réalisés en pharmacie.

Suite aux contrôles réalisés par la CNIL, en conséquence de ces révélations, il s’est avéré que la faille concernait une base de données comportant les nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de Sécurité sociale de quelques 386 970 personnes uniques.

L’enquête de la CNIL

Conformément aux prérogatives qui lui sont octroyées par la Loi Informatique et Libertés, la CNIL a mené des contrôles en ligne et dans les installations de la société afin de vérifier les mesures prises pour assurer la sécurité de ces données.

Bien que la CNIL ait constaté que la société avait pris certaines mesures pour remédier aux causes de la violation de données, elle a néanmoins noté que le service FranceTest présentait encore d’importantes vulnérabilités en matière de sécurité de données.

En effet, la CNIL relève que :

  • les données de santé sont hébergées chez un prestataire ne disposant pas d’un agrément (obligatoire) HDS (hébergement de données de santé),
  • les processus d’authentification n’étaient pas suffisamment robustes,
  • les procédés cryptologiques utilisés étaient faibles et la journalisation (enregistrement des actions des personnes accédant à l’outil) des activités des serveurs était insuffisante.

En conséquence de ses constats, la CNIL a adressé à la société FranceTest, une mise en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu’elle traite pour le compte de centaines de pharmacies, dans le délai de deux mois suivant la décision de la CNIL. En outre, la CNIL a adressé un courrier à « plus de 300 pharmacies afin qu’elles vérifient leur conformité au [Règlement général sur la protection des données] et à l’obligation de sécurité ».

La protection renforcée des données personnelles de santé

Pour rappel les données de santé sont considérées comme des « données sensibles » dont le traitement par principe est interdit par le RGPD (Règl. (UE) 2016/679, 27 avr. 2016, art. 9. ;  Loi n° 78-17, 6 janv. 1978, art. 6 modifié).
Une série d’exceptions fournissent cependant un fondement pour déroger à cette interdiction de traiter des données de santé. Parmi ces exceptions, qui permettent de justifier du traitement de données personnelles de santé, figurent notamment :

  • Le Consentement explicite de la personne concernée peut permettre, dans une certaine mesure, de déroger à l’interdiction de traitement des données de santé ;
  • Le Droit du travail, la sécurité sociale, la protection sociale : pour les traitements nécessaires aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
  • La Sauvegarde des intérêts vitaux des personnes concernées ;
  • La Médecine préventive ou médecine du travail, l’appréciation de la capacité de travail du travailleur, les diagnostics médicaux, la prise en charge sanitaire ou sociale, ou la gestion des systèmes et des services de soins de santé ou de protection sociale  ;
  • L’Intérêt public lorsque le traitement est“nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée”

Ces données de santé font l’objet d’une protection spécifique par plusieurs textes parmi lesquels : le RGPD, le Code de la Santé publique, et la Loi Informatique et Libertés.

Parmi les obligations spécifiques qui s’appliquent en matière de traitement de données de santé : L’article L 1111-8 du Code de la Santé Publique (CSP), largement modifié par l’Ordonnance n°2017-27 du 12 janvier 2017, pose le cadre de l’hébergement de données de santé. Il énonce l’obligation de la certification/agrément de

  • « I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même »

L’ensemble de ces obligations et la protection renforcée de ces données, rendent capitale la mise en conformité de tout professionnel de santé, qui traitent par nature, des données de santé.

Vous êtes pharmacien ou professionnel de santé, et vous souhaitez vous mettre en conformité ?
Contactez le cabinet LEGALPROTECH-AVOCATS, pour un audit de votre structure.

Samuel DENIN, Juriste


Sources