La société est tenue « de sécuriser les données de santé qu’elle collecte pour le compte des pharmacies à l’occasion de tests de dépistage à la COVID-19 », indique à l’instant la délibération de l’autorité.
Ce service d’intermédiation, lancé au premier semestre 2021, a vocation à « simplifier la collecte des données à caractère personnel des patients ayant effectué un test et leur acheminement vers le Système d’information national de dépistage »
Suite à une faille de sécurité signalée en septembre, la délégation a constaté l’exposition d'une base de données concernant 386 970 personnes uniques, avec nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale.
Toujours à l’occasion de ses contrôles, la CNIL a relevé de « multiples insuffisances en termes de sécurité » : l’hébergement de données de santé chez un prestataire sans agrément HDS, « le recours à des processus d’authentification insuffisamment robustes, l’utilisation d’une fonction de hachage faible et une journalisation lacunaire des activités des serveurs ».
La société doit corriger le tir sous deux mois. À défaut, la CNIL pourra s’orienter vers une sanction.
