Fuite de tests Covid: arrivée en masse de nouveaux venus dans le secteur ultra-réglementé de la santé

253

La fuite potentielle de centaines de milliers de résultats de tests, avec noms et numéros de Sécurité sociale, via un site prestataire de pharmacies illustre l’arrivée en masse de nouveaux venus dans le secteur ultra-réglementé de la santé pendant la pandémie. La société mise en cause, et qui fait désormais l’objet d’une enquête de la Cnil, Francetest, propose aux pharmacies de transmettre les données des tests covid qu’elles réalisent à la plateforme gouvernementale SI-DEP, pour leur éviter d’avoir à rentrer à chaque fois toutes les informations personnelles du patient, en plus du résultat du test.Problème: elle ne fait pas partie des logiciels agréés par la Direction générale de la santé (DGS). Francetest a été fondée en janvier dernier et enregistrée en août 2021 au greffe de Strasbourg par son fondateur Nathaniel Hayoun, 25 ans, également directeur des opérations d’une société de formation professionnelle (chauffeur VTC, réparation de smartphones, secourisme, …). Comme lui, de nombreux entrepreneurs se sont mis spontanément pendant la pandémie à proposer des solutions aux professionnels de santé, parfois sans bien connaître le secteur et ses importantes exigences, notamment en termes de sécurité des données. Ces derniers mois ont ainsi émergé des start-up proposant un service «clé en main» aux pharmacies et professionnels de la nuit pour installer des barnums de test, avec des méthodes parfois à la limite de la légalité, ou encore des solutions de contrôle du pass sanitaire, avant même l’aval du ministère de la Santé. «Il y en a juste trop!», dit Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France, qui plaide pour un encadrement de ces nouvelles sociétés au milieu desquelles les professionnels de santé «naviguent à vue». «C’est vrai qu’il y a eu une accélération» du nombre de nouvelles entreprises traitant des données dans le domaine de la santé, avec la pandémie, abonde de façon plus générale Isabelle Hilali, fondatrice de la société Datacraft et du think tank Healthcare Data Institute, dédié au «big data» en santé. Selon elle, la santé attire les jeunes entrepreneurs depuis déjà plusieurs années, «d’abord parce que c’est un domaine qui a du sens, ensuite parce qu’il y a beaucoup de données à traiter, et enfin parce que c’est un marché «bankable»». Isabelle Hilali estime que la réglementation reste efficace, et que les fuites de données, rares, selon elle, pourraient aussi survenir dans des sociétés plus installées. «Mais c’est sûr que la taille de l’entreprise, sa structuration, le fait d’avoir une équipe IT (informatique), tout ça réduit les risques», dit-elle. Dans le cas de Francetest, c’est une négligence très basique qui est en cause, selon ce qu’a révélé Mediapart mardi, et que les enquêtes devront confirmer: l’accès à l’arborescence du site n’avait pas été restreinte, et permettait aux curieux de trouver d’une part «une vingtaine de fichiers» contenant nombre d’informations personnelles et sensibles, notamment le numéro de Sécurité sociale et le résultat des tests, et d’autre part les «identifiants permettant d’accéder à l’ensemble de la base de données du site», soit «plus de 700.000 résultats de tests». La société «a tout lieu de considérer que cet incident est techniquement clôturé». Ce type de défaut de sécurité courant avait d’ailleurs donné lieu en 2014 à une bataille juridique pour savoir si fouiller dans un site «laissé ouvert», pouvait être assimilé à du piratage. En 2015, la Cour de cassation avait confirmé qu’une telle pratique était frauduleuse, et passible de 2 ans d’emprisonnement et 60.000 euros d’amende. Pour l’heure, impossible de savoir si les données personnelles des clients de Francetest ont été consultées ou extraites par d’autres personnes que celle qui a repéré et signalé la faille.