L'arrivée massive de nouveaux venus dans la santé ne passe pas inaperçue. Ce phénomène, qui découle directement de la pandémie, pose des questions alors que le secteur est ultra-réglementé. Une fuite potentielle de centaines de milliers de résultats de tests, avec identités et numéros de Sécurité sociale, via un site prestataire de pharmacies a été mise au jour par Mediapart mardi 31 août et illustre parfaitement la situation.
La société mise en cause, Francetest, qui fait désormais l'objet d'une enquête de la Cnil (Commission nationale de l'informatique et des libertés), propose aux pharmacies de transmettre les données des tests Covid qu'elles réalisent à la plateforme gouvernementale SI-DEP pour leur éviter d'avoir à rentrer à chaque fois toutes les informations personnelles du patient, en plus du résultat du test.
Des méthodes qui frôlent l'illégalité
Problème : elle ne fait pas partie des logiciels agréés par la Direction générale de la santé (DGS). Francetest a été fondée en janvier 2021 et enregistrée en août suivant au greffe de Strasbourg par son fondateur Nathaniel Hayoun, 25 ans, également directeur des opérations d'une société de formation professionnelle (chauffeur VTC, réparation de smartphones, secourisme, etc.). Comme lui, de nombreux entrepreneurs se sont mis spontanément pendant la pandémie à proposer des solutions aux professionnels de santé, parfois sans bien connaître le secteur et ses importantes exigences, notamment en matière de sécurité des données.
Ces derniers mois ont ainsi émergé des startups proposant un service "clé en main" aux pharmacies et professionnels de la nuit pour installer des barnums de test, avec des méthodes parfois à la limite de la légalité ou encore des solutions de contrôle du pass sanitaire avant même l'aval du ministère de la Santé. "Il y en a juste trop !" , dit Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France, qui plaide pour un encadrement de ces nouvelles sociétés au milieu desquelles les professionnels de santé "naviguent à vue".
"C'est vrai qu'il y a eu une accélération" du nombre de nouvelles entreprises traitant des données dans le domaine de la santé avec la pandémie, abonde de façon plus générale Isabelle Hilali, fondatrice de la société Datacraft et du think tank Healthcare Data Institute, dédié au "big data" en santé. Selon elle, la santé attire les jeunes entrepreneurs depuis déjà plusieurs années, "d'abord parce que c'est un domaine qui a du sens, ensuite parce qu'il y a beaucoup de données à traiter, et enfin parce que c'est un marché bankable".
Une négligence basique
Isabelle Hilali estime que la réglementation reste efficace et que les fuites de données, rares selon elle, pourraient aussi survenir dans des sociétés plus installées. "Mais c'est sûr que la taille de l'entreprise, sa structuration, le fait d'avoir une équipe IT (informatique), tout ça réduit les risques" , dit-elle. Dans le cas de Francetest, c'est une négligence très basique qui est en cause, selon Mediapart, et que les enquêtes devront confirmer : l'accès à l'arborescence du site n'avait pas été restreinte et permettait aux curieux de trouver, d'une part, "une vingtaine de fichiers" contenant nombre d'informations personnelles et sensibles, notamment le numéro de Sécurité sociale et le résultat des tests et, d'autre part, les "identifiants permettant d'accéder à l'ensemble de la base de données du site" , soit "plus de 700 000 résultats de tests".
La société "a tout lieu de considérer que cet incident est techniquement clôturé" et dit avoir fait appel à des experts en cybersécurité. Ce type de défaut de sécurité courant avait d'ailleurs donné lieu, en 2014, à une bataille juridique pour savoir si fouiller dans un site "laissé ouvert" , pouvait être assimilé à du piratage. En 2015, la Cour de cassation avait confirmé qu'une telle pratique était frauduleuse, et passible de deux ans d'emprisonnement et 60 000 euros d'amende. Pour l'heure, impossible de savoir si les données personnelles des clients de Francetest ont été consultées ou extraites par d'autres personnes que celle qui a repéré et signalé la faille.
Si des personnes mal intentionnées l'avaient fait, la base de données est susceptible d'être mise en vente sur les plateformes illégales du darknet, véritable marché noir des données personnelles. Il sera théoriquement possible de savoir si les données exposées ont été téléchargées ou consultées en masse, et si le serveur de Francetest a été correctement configuré pour garder une trace des accès aux fichiers.