Données personnelles et tests antigéniques : la nécessaire conformité des sous-traitants de pharmacies
Dans une décision récente, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en exergue le manque de sécurité relatif aux données personnelles collectées par une société dans le cadre des tests antigéniques réalisés en pharmacie.
Cette décision revient sur l’importance de se mettre en conformité en tant que sous-traitant.
La société FRANCETEST permet aux pharmacies qui réalisent des tests antigéniques de simplifier la collecte des données personnelles des patients en les acheminant directement vers le système d’Information national de dépistage, autrement appelé la plateforme SI-DEP.
Concrètement, le patient qui souhaite réaliser un test auprès d’une pharmacie ayant recours aux services de la société FRANCETEST doit scanner un QR code sur son smartphone qui le renvoie sur le site « francetest.fr » et vers un formulaire en ligne sur lequel il doit renseigner les données suivantes : nom, prénom, adresse mail, numéro de téléphone, date de naissance, numéro de sécurité sociale, adresse postale et la date d’apparition des premiers symptômes.
Le pharmacien effectue le test, communique le résultat à FRANCETEST et valide la transmission de ce résultat vers la plateforme SI-DEP.
FRANCETEST transmet alors au patient un mail contenant un lien permettant d’accéder à ses résultats.
Par ce traitement, FRANCETEST a ainsi la qualité de sous-traitant au sens du Règlement Général sur la Protection des Données (RGPD) dans la mesure où il traite des données personnelles pour le compte des pharmacies, les responsables de traitement.
En sa qualité de sous-traitant et conformément au RGPD, FRANCETEST doit notamment assurer la sécurité des données qu’elle traite pour le compte des pharmacies par la mise en place de diverses mesures.
Et cette sécurité doit d’autant plus être assurée dans la mesure où les données traitées comportent des données de santé qui sont des données dites « sensibles », nécessitant une protection particulière.
Or, après un signalement anonyme sur l’existence d’une faille de sécurité affectant le site internet « francetest.fr » la CNIL a procédé à un contrôle sur place dans les locaux de FRANCETEST pour vérifier la conformité des traitements de données personnelles effectués par cette société au regard du RGPD et à la Loi informatique et libertés.
Si la CNIL a constaté que FRANCETEST avait pris rapidement certaines mesures pour corriger le défaut de sécurité à l’origine de la violation de données, elle a toutefois constaté qu’il existait de nombreuses insuffisances en matière de sécurité qui n’avaient pas été corrigées, entraînant un risque sur la confidentialité des données personnelles traitées.
Dans sa décision du 4 octobre 2021 la CNIL[1] a ainsi mis en demeure FRANCETEST de prendre toutes les mesures pour garantir la sécurité et la confidentialité des données personnelles.
Vous aussi vous traitez des données personnelles pour le compte, sur instruction et sous l’autorité d’une personne ?
Vous avez alors la qualité de sous-traitant et à ce titre, vous devez respecter la réglementation sur les données personnelles !
En pratique, un contrat de sous-traitance doit être conclu avec le responsable de traitement pour i) indiquer vos obligations, ii) prévoir que vous ne pouvez agir que sur instruction du responsable de traitement et iii) préciser les garanties suffisantes que vous présentez pour assurer la mise en œuvre des mesures de sécurité et de confidentialité.
Il vous appartiendra également de vérifier que ces mesures de sécurité fonctionnent !
En cas de non-respect de cette réglementation en votre qualité de sous-traitant, vous pouvez être tenu pour responsable et faire l’objet de sanctions administratives pouvant s’élever jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu ![2]
En outre, la CNIL pourra également révéler votre identité et vos manquements de manière publique comme elle le fit pour la société FRANCETEST…
[1] Décision MED-2021-093 du 4 octobre 2021 / Délibération MED-2021 001 du 11 octobre 2021.
[2] Article 83 du RGPD ; article 20 de la Loi informatique et libertés.