Une société strasbourgeoise à l'origine d'une importante fuite de données personnelles
3 septembre 2021 à 8h12 - Modifié : 8 novembre 2021 à 12h25 par Rédaction
Des centaines de milliers de patients ayant effectué des tests Covid en pharmacie ont vu leurs donné
Le site Mediapart révèle que Francetest a rendu publiques les données personnelles de centaines de milliers de personnes pendant plusieurs mois. Une fuite qui interroge sur l'amateurisme des dirigeants de cette société spécialisée dans la transmission de résultats de tests Covid aux pharmacies.
Difficile de connaître le chiffre exact mais le média d'investigation Mediapart estime que plusieurs centaines de personnes ont vu leurs données privées dévoilées sur le site Internet de Francetest ces derniers mois. Chargée de fournir les résultats de tests antigéniques à des milliers de pharmacies en France, cette société a été créée par un Strasbourgeois de 25 ans en début d'année. Immatriculée le 16 août dernier au tribunal de commerce de Strasbourg, Francetest revendiquait alors "réaliser 15 000 à 20 000 résultats quotidiens".
#COVID19 Plus de 700 000 résultats de tests et leurs données personnelles ont été rendus accessibles par des failles béantes sur le site de Francetest, un logiciel transférant les données des pharmaciens vers un fichier central. @JeromeHourdeaux @Mediaparthttps://t.co/XuxSzIztKp
— Edwy Plenel (@edwyplenel) August 31, 2021
Des données en accès libre
Alors que des centaines de milliers de patients ont effectué des tests antigéniques dans des pharmacies aux quatre coins de l'Hexagone, ils ont vu ensuite leurs numéros de téléphones, adresse postale ou numéro de sécurité sociale publiés sur le site Francetest.fr . Des coordonnées entrées par ces Français eux-mêmes via un QR code scanné avant de réaliser le test de dépistage. Une fois le résultat connu, les pharmaciens transféraient alors celui-ci sur le portail gouvernemental dédié en passant par la plateforme Francetest.fr. C'est au cours de cette étape de transfert de résultats que la société strasbourgeoise aurait amassé des centaines de milliers de données personnelles.
Un "bug" réparé
Le 27 août, une utilisatrice informaticienne a donné l'alerte à la Commission Nationale de l'Information des Libertés (CNIL) indiquant qu'elle avait accès aux fiches de tous les patients testés. Francetest a aussitôt réagi en expliquant avoir "remédié à cette faille" et en précisant que "rien n'indiquait que ces données avaient été divulguées publiquement". Après avoir requis l'assistance d'experts en cybersécurité, la société strasbourgeoise considère que l'incident est "techniquement clôturé". La CNIL a ouvert une enquête.