Un sous-traitant informatique d’officines de pharmacie mis en demeure par la CNIL de se conformer au RGPD

Publié le - Mise à jour le

Voir toutes les actualités

Dans sa délibération n°2021- 092 du 4 octobre 2021, la CNIL a mis en demeure un sous-traitant informatique de pharmacies qui permet via son application mobile de simplifier la collecte des données personnelles des patients ayant effectué un test antigénique de dépistage du Covid 19 en pharmacie et leur acheminement vers la plateforme SI-DEP, de prendre toute mesure pour garantir la sécurité et la confidentialité des données personnelles et de justifier auprès de la CNIL, dans les deux mois à compter de la notification de la décision, des mesures de sécurité prises.

Pour en savoir plus :

Cette société nouvellement créée en 2021 dans le cadre du contexte sanitaire, en relation d’affaires directe et indirecte (via des sociétés intermédiaires) avec environ 350 pharmacies au total, permet en effet à ces pharmacies ayant créé un compte sur son site web (via leur numéro d’identification au répertoire partagé des professionnels de santé RPPS) de bénéficier de son service. De son côté, le patient scanne avec son terminal mobile un QR Code à l’entrée des officines où le test est effectué et remplit un formulaire de collecte de données sur le site internet de la société en cause. Une fois le test effectué, le pharmacien renseigne le résultat du test dans son interface en ligne du service et valide la transmission du résultat du test vers la plateforme SI-DEP (fichier centralisant les résultats des tests mis en œuvre par le ministère des Solidarités et de la Santé) depuis l’application mobile. Le patient reçoit ensuite un courriel contenant un lien lui permettant d’accéder au résultat du test.

Fin aout 2021, la CNIL est informée par un signalement anonyme d’une faille de sécurité affectant le site internet de la société en cause et rendant accessibles des données personnelles de personnes testées. Le jour même de sa saisine, la CNIL a tout d’abord effectué un contrôle en ligne permettant de constater l’effectivité de la faille de sécurité impactant des données personnelles de patients (386 970) ayant été testés et comportant le nom, le prénom, l’adresse e-mail, le numéro de téléphone, la date de naissance, le résultat du test (positif ou négatif) et pour certains d’entre eux le numéro de sécurité sociale (NIR). Elle a ensuite procédé à un contrôle sur place le 9 septembre 2021 dans les locaux de la société aux fins de vérifier la conformité des traitements mis en œuvre avec le RGPD et la loi Informatique et Libertés modifiée.

La société en cause a indiqué à la CNIL qu’alertée par un journaliste, le jour même de la saisine de la CNIL, sur le fait que des données personnelles de personnes testées étaient librement accessibles dans l’arborescence de son site web, elle a considéré que cette vulnérabilité était due à un défaut de configuration du serveur web et a pris en conséquence des mesures soit l’extinction et le redémarrage du serveur web, la correction de la vulnérabilité en rendant le dossier inaccessible, la modification du mot de passe de connexion aux bases de données hébergées auprès de ses prestataires, l’ajout des règles de pare-feu. Elle a également effectué dans la foulée une notification de la violation de données personnelles à la CNIL. Dans le cadre de la procédure de contrôle, des éléments complémentaires ont été communiqués à la CNIL notamment à sa demande à savoir les documents contractuels entre la société en cause et ses prestataires d’hébergement ainsi que ceux avec les sociétés intermédiaires.

 

Dans cette décision, la CNIL a considéré que :

  • La société en cause doit être regardée comme un sous-traitant au sens du RGPD :

La réalisation des tests antigéniques depuis l’arrêté du 26 octobre 2020 s’effectue sous la responsabilité des pharmacies, y compris la mise en œuvre opérationnelle impliquant, outre le test, la collecte des données personnelles des patients testés et leur transmission à la plateforme SIDEP. Une officine de pharmacie est donc un responsable de traitement au regard du RGPD car elle décide des finalités et des moyens du traitement.

La société en cause ne faisant que mettre des outils, notamment informatiques, choisis par les pharmacies pour faciliter la mise en œuvre du traitement, agit au nom et sous la responsabilité des pharmacies et est donc un sous-traitant au regard de l’article 4 du RGPD.

  • Les mesures de sécurité des données prises sont insuffisantes :

L’article 32 du RGPD précise qu’il appartient au responsable de traitement (l’officine de pharmacie) et au sous-traitant (la société en cause) de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, telles que le chiffrement des données personnelles et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. De plus, dans la mesure où le traitement porte sur des données « sensibles » (en l’occurrence des données de santé), des mesures de sécurité renforcées doivent être prises conformément au Code de la santé publique (article L. 1111-8).

Ainsi, nonobstant les mesures de sécurité déjà prises par la société, la CNIL a en effet constaté des insuffisances en termes de sécurité des données de santé et notamment le fait que le prestataire d’hébergement des données de santé de la société en question ne disposait pas d’un agrément HDS (à délivrer par le ministère des Solidarités et de la Santé). Au vu du manquement au RGPD et pour ne pas exposer la sécurité du traitement à de nouveaux risques, la CNIL a préféré communiquer à la société le détail des défauts de sécurité et des mesures de sécurité à prendre, de façon confidentielle et sécurisée.

  • La société a 2 mois pour se conformer aux mesures prescrites dans la mise en demeure :

La CNIL a en effet mis en demeure la société de se conformer dans le délai imparti (2 mois) aux mesures prescrites dans l’annexe de sa décision pour garantir la sécurité et la confidentialité des données personnelles traitées. Si la société se met en conformité dans ce délai, alors la CNIL pourra clore la procédure de mise en demeure et un courrier sera adressé à la société en ce sens. 

En cas de non-respect de la mise en demeure, il est clairement précisé dans la décision qu’un rapporteur sera alors désigné dans le cadre d’une procédure de sanction et pourra demander à la formation restreinte (formation de sanctions) de la CNIL de prononcer une des mesures/sanctions (y compris pécuniaires) prévues à l’article 20 de la loi Informatique et libertés modifiée.

 

Remarques :

  • Ce n’est pas la première fois que la CNIL rappelle cette année aux sous-traitants qu’ils ont une obligation de sécurité des données personnelles traitées au regard du RGPD (cf. article « Manquements à la sécurité d’un site web : le responsable de traitement et son sous-traitant sanctionnés par la CNIL »). Toutefois, la CNIL a utilisé dans la présente décision, la procédure de mise en demeure pour accompagner le sous-traitant, dans le contexte sanitaire, à se conformer rapidement aux dispositions Informatique et Libertés en lui fournissant notamment les mesures à prendre pour garantir la sécurité des données personnelles traitées et ne pas faire l’objet d’une procédure de « sanction ». Précisons qu’à la date de la publication du présent article, le délai de mise en conformité accordé par la CNIL à la société n’est pas encore expiré et que la CNIL ne se prononcera sur la clôture ou non de la procédure de mise en demeure qu’à l’issue de ce délai.

 

  • Notons que la CNIL a décidé d’une mise en demeure « publique » via la décision 2021-001 du 11 octobre 2021 hormis l’annexe de la décision relative aux mesures de sécurité prescrites qui n’est pas publiée. La CNIL a justifié la publicité (en partie) de la décision en raison notamment de la sensibilité des données traitées (données de santé, NIR) et de la nécessité d’informer l’ensemble des personnes concernées, les organismes (environ 350 officines de pharmacie) ayant recours aux services de la société en cause (nommée dans la décision) et de manière générale l’ensemble des acteurs du monde de la santé, sur les manquements  à la sécurité des données et sur la nécessité de sécuriser les données personnelles traitées pour se conformer au RGPD.  En cas de clôture de la procédure de mise en demeure, la CNIL a précisé, dans sa délibération du 11 octobre 2021, qu’elle serait rendue publique.

 

  • Dans son communiqué en ligne du 14 octobre 2021, la CNIL a également indiqué qu’un courrier a été adressé d’une part, à plus de 300 officines concernées afin de leur rappeler notamment l’importance d’assurer la sécurité des données de santé et leurs obligations concernant l’encadrement des relations avec leurs prestataires et d’autre part, au Conseil national de l’ordre des pharmaciens (CNOP) pour appeler la profession (20940 officines de pharmacie en France au 1er novembre 2021 cf. site web de l’Ordre des pharmaciens) à faire preuve d’une vigilance accrue vis-à-vis des traitements de données personnelles qu’elle met en œuvre. Dans une démarche d’accompagnement, la CNIL a de même publié le 25 octobre 2021 sur son site internet un projet de référentiel destiné à aider les pharmacies à se conformer au RGPD sachant que l’ancien cadre juridique (norme simplifiée n°52) de la CNIL n’est plus en vigueur.

 

  • Il convient de rappeler de manière plus générale aux responsables de traitement et aux sous-traitants que d’une part, la cybersécurité des sites web français et la sécurité des traitements de données de santé sont cette année des thèmes prioritaires des contrôles de la CNIL (cf. programme annuel des contrôles de la CNIL publié le 2 mars 2021 sur www.cnil.fr) et que d’autre part, un manquement à la sécurité des données est susceptible d’être sanctionné par la CNIL d’une amende pouvant s’élever à 10 millions d’euros ou à 2% du chiffre d’affaire annuel mondial dans le cas d’une entreprise (art.83-4 du RGPD).

 

Décision n°MED-2021-093 du 4 octobre 2021/Décision n° MEDP-2021-001 du 11 octobre 2021

 

Vanessa Younes Fellous
Avocate et formatrice

Formations qui pourraient vous intéresser

tealium