Plainte n°28-4900 du 7 septembre 2021 concernant la société SCM BIOGROUP

1. La société Biogroup est un regroupement de 791 laboratoires d’analyses médicales prenant en charge 75 000 patients chaque jour. Ses activités sont situées en Île-de-France, en Picardie, dans le Grand Est, en Bourgogne Franche-Comté, en Rhône-Alpes, Provence-Alpes-Côte d’Azur, Corse, dans le Limousin et le Grand Ouest. La société Biogroup se revendique « le premier groupe de biologie médicale en France et le premier groupe de biologistes libéraux indépendants » (source : https://biogroup.fr/presentation-biogroup/).

2. La société Biogroup réalise, pour le compte de ses patients, des analyses médicales et propose d’envoyer les résultats par courrier électronique aux patients.

3. Lorsque les résultats des analyses sont envoyés par courrier électronique, les résultats ne sont pas directement intégrés dans le corps du courriel, mais sont insérés en pièce jointe du courriel, dans un document au format PDF.

4. Le document joint contient les résultats des analyses du patient ainsi que le nom et prénom du patient, l’adresse du patient, la date de naissance du patient, le numéro de téléphone du patient, l’adresse e-mail du patient et le nom du médecin ayant prescrit l’analyse.

5. Le contenu du document joint est chiffré et peut être déchiffré à l’aide d’un mot de passe.

6. Le mot de passe utilisé pour protéger l’accès aux résultats d’analyses est composé des trois premières lettres du nom de famille du patient en majuscules, suivies de sa date de naissance au format JJMMAAAA, c’est-à-dire onze caractères au maximum. Par exemple : DUP31122000 pour un patient qui s’appellerait Dupont et qui serait né le 31/12/2000.

7. Pour permettre au patient de connaître le mot de passe à utiliser et de consulter ses résultats, le corps des courriers électroniques contient les explications suivantes : « Un mot de passe vous sera demandé pour ouvrir le fichier PDF joint, celui-ci est composé des 3 premières lettres de votre nom (marital, en MAJUSCULES), suivi de votre date de naissance au format JJMMAAAA. ». Des exemples sont également communiqués pour permettre au patient de bien comprendre : « Exemple : - Mr Jean DUPONT né le 15/01/1990 : DUP15011990 ».

8. L’objet des courriers électroniques contenant les résultats d’analyses intègre, dans la majorité des courriels étudiés, le nom et le prénom du patient.

9. Les données intégrées dans le document joint aux courriels et détaillées au point 4 sont des données à caractère personnel au sens du Règlement Général sur la Protection des Données (RGPD). Certaines données, comme les résultats d’analyses, sont même des données concernant la santé des personnes, toujours selon le RGPD.

10. L’article 32-1 du RGPD indique que des mesures de sécurité « appropriées » doivent être prises par Biogroup, en tant que responsable du traitement, pour protéger les données à caractère personnel de ses patients et garantir leur confidentialité : « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : a) la pseudonymisation et le chiffrement des données à caractère personnel ; b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. ». L’article 32-2 du RGPD indique aussi que ces mesures de sécurité doivent être prises en tenant compte des risques que présentent le traitement : « Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. ».

11. Les courriers électroniques ne sont pas des moyens de communication sécurisés, car leur contenu peut transiter sans chiffrement entre l’émetteur et le destinateur. La CNIL s’est d’ailleurs exprimée sur ce sujet dans les points 93 et 94 de sa délibération n° SAN-2020-003 du 28 juillet 2020 concernant la société SPARTOO SAS. L’ANSSI s’est également exprimée sur ce sujet dans le point 18 de son guide « Renforcer la sécurité de son système d’information en 42 mesures » et indique « Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. ». L’ANSSI poursuit en indiquant « Toutes les données envoyées par courriel […] sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant » (source : https://www.ssi.gouv.fr/administration/guide/guide-dhygiene-informatique/).

12. L’objet et le corps des courriels envoyés par Biogroup ne sont pas chiffrés. Les textes y figurant peuvent donc transiter en clair, sans chiffrement, notamment la composition du mot de passe évoqué au point 6 et le nom du patient évoqué au point 8.

13. Le document contenant les données détaillées au point 4 est protégé par un mot de passe de maximum onze caractères, composé uniquement de lettres majuscules et de chiffres, ce qui est contraire aux recommandations de la CNIL, qui recommande, dans sa délibération n°2017-012 du 19 janvier 2017, que les mots de passe aient au minimum 12 caractères et soient composés de majuscules, minuscules, chiffres et de caractères spéciaux : « Si l’authentification repose uniquement sur un identifiant et un mot de passe, la commission considère que : la taille du mot de passe doit être au minimum de 12 caractères ; et le mot de passe doit comprendre des majuscules, des minuscules, des chiffres et des caractères spéciaux. »

14. Un attaquant qui intercepterait les courriels envoyés par Biogroup peut tester autant de possibilités qu’il souhaite, dans la limite de ce que permet la puissance de son équipement informatique, car le système de mot de passe du document ne fait pas appel à un système connecté à Internet. Biogroup n’a donc pas la capacité de constater que des tentatives d’intrusions sont effectuées, ni de limiter ou bloquer ses tentatives.

15. Un attaquant n’aurait pas besoin de tester toutes les possibilités, car le contenu du courriel indique, en clair, le format du mot de passe détaillé.

16. Dans le cas où l’attaquant ne connaîtrait ni le nom ni la date de naissance du patient, et qu’il considérerait que la personne a moins de 100 ans, il y aurait exactement 667 147 000 de possibilités de mots de passe.

17. Dans le cas où l’attaquant connaîtrait le nom du patient, car le nom de la personne est, dans la majorité des cas, inclus dans le courriel (point 8), il y aurait exactement 36 500 possibilités.

18. En 2021, une machine grand public d’une puissance moyenne a la capacité de tester les 667 millions de possibilités du point 16 en moins de 20 minutes. Le mot de passe peut donc être trouvé, en moyenne, en 10 minutes.

19. En 2021, une machine grand public d’une puissance moyenne a la capacité de tester les 36 500 possibilités du point 17 en moins d’une seconde. Le mot de passe peut donc être trouvé instantanément.

20. Avec une machine munie d’une forte puissance, comme peuvent l’obtenir des organismes privés ou publics avec des moyens financiers importants, le temps nécessaire du point 18 peut être considérablement réduit et peut être considéré comme instantané.

21. En prenant en compte les points 16 à 20, la protection par mot de passe des données à caractère personnel des patients, dont les données de santé, doit donc être considéré, dans le meilleur des cas, comme très faible et, dans la majorité des cas, comme inexistante.

22. La société Biogroup recourt aux pratiques décrites dans les points précédents depuis, au moins, juillet 2019. Il n’est pas exclu que ces pratiques aient débuté avant cette date.

23. La société Biogroup propose également aux patients de récupérer leurs résultats médicaux en utilisant le site Internet de Biogroup. Les identifiants, c’est-à-dire le numéro de patient et le mot de passe, sont transmis en clair dans le corps de l’e-mail.

24. Les mesures prises par Biogroup ne permettent pas de garantir la confidentialité des données à caractère personnel de ses patients, ce qui est contraire à l’article 32 du RGPD.

25. Un courriel a été envoyé le 27/07/2021 au Délégué à la Protection des Données (DPD) de Biogroup pour les informer. La majorité des points décrits dans ce document a été mentionnée.

26. Des courriels de rappel ont été envoyés le 08/08/2021 et le 13/08/2021 au DPD de Biogroup, en l’absence de réponse.

27. Un courriel a été reçu le 16/08/2021 du DPD de Biogroup pour indiquer que (i) le courriel a bien été réceptionné et que (ii) que le courriel a été « transmis aux services concernés pour analyse ».

28. Un courriel a été envoyé le 02/09/2021 au DPD de Biogroup pour lui demander (i) si les services de Biogroup ont pu analyser les éléments remontés, (ii) si une modification du traitement des données a été effectuée, (iii) si les patients allaient être informés et si (iv) la CNIL avait été informée.

29. Biogroup devrait cesser de communiquer les données de santé de ses patients par courrier électronique, ou bien utiliser des mots de passes robustes, dont le format n’est pas communiqué à l’intérieur du courriel.

30. Biogroup devrait informer ses patients que leurs données à caractère personnel, dont les données de santé, ont pu être, ou ont été, interceptées et consultées par des tiers.

31. Biogroup devrait dédommager ses patients, car les données à caractère personnel, dont les données de santé, ont pu être interceptées, stockés et utilisées pour les profiler, avec toutes les conséquences que cette pratique engendre, ou pour leur proposer des services ou publicités ciblées.