certains dons médicaux ne sont pas entièrement protégés

“Après un travail de deux ans mené avec Tanker, entreprise technologique française de pointe spécialisée dans la sécurisation des données (…), Doctolib annonce aujourd’hui la mise en œuvre du chiffrement de bout en bout pour les données personnelles de santé de ses utilisateurs .” En juin 2020, juste après le premier confinement, Doctolib publie un communiqué de presse pour annoncer la mise en œuvre du chiffrement de bout en bout (chiffrement de bout en bout en anglais) des données médicales de ses utilisateurs. Ce qui signifie, en théorie, que seuls les patients et leurs médecins peuvent y avoir accès. Je communiquais le Doctolib precisait également : “Cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance.”

Deux ans plus tard, alors que Doctolib a joué un rôle central dans la vaccination des Français contre le Covid-19, la cellule enquête de Radio France a réalisé un test qui a montré que la plateforme ne chiffre pas de bout en bout l’ensemble des données de ses utilisateurs. Ils ne consentent pas à certaines informations confidentielles, contrairement à ce qu’affirme la société. Le test est simple à réaliser. Nous nous sommes connectés via notre ordinateur sur notre compte Doctolib, en renseignant adresse mail et mot de passe. Nous avons alors accès à tous nos rendez-vous Médicaux passés et à venir. Puis nous avons utilisé un débogueur pour inspecter le code de la page que nous avons sous les yeux, l’arrière-boutique en quelque sorte. “On voit ainsi les échanges entre Doctolib et votre ordinateur”explique le développeur Benjamin Sonntag, co-fondateur de l’association La Quadrature du Net, qui réalise le test sur nous. “Ce qu’on découvre c’est un document que s’appelle rendez-vous.json*”poursuit-il.

Capture d'écran montrant le stockage d'informations relatives aux rendez-vous pris sur Dotolib.  (CELLULE ENQUÊTE DE RADIOFRANCE)

En cliquant sur le lien en bleu nous arrivons à une arborescence que donne accès à tous nos rendez-vous Médicaux à ven. Les rendez-vous passés sont accessibles de la même manière.

Capture d'écran de l'arborescence montrant les rendez-vous confirmés sur Doctolib.  (CELLULE ENQUÊTE DE RADIO FRANCE)

Et en cliquant sur 0, 1, 2, 3, 4, nous voyons les détails de nos prochains rendez-vous : nom et prénom du patient, date et heure du rendez-vous, nom et spécialité du médecin et même le motif de la consultation.

Captures d'écran montrant les informations en clair et donc visibles par Doctolib.  (CELLULE ENQUÊTE DE RADIO FRANCE)

“On a reçu de Doctolib les données en clair sur vos prochains rendez-vous. On ne les a pas reçues chiffréesa expliqué Benjamin Sonntag. Donc cela veut dire que Doctolib lui-même a ces informations en clair.” Or ces rendez-vous Médicaux sont significatifs et renseignent sur l’état de santé d’une personne. “Si vous êtes tous régulièrement chez un oncologue ou chez un psychologue, cela raconte quelque chose sur votre état de santé”convient à Benjamin Sonntag.

Un élément rassurant, ces données sont chiffrées quand elles sont en transit, c’est-à-dire quand elles circulent entre Doctolib et notre navigateur internet. Personne ne peut les intercepter en cours de route. Mais chez Doctolib, des salariés ont bien accès aux détails de nos rendez-vous médicaux. “Typiquement ce sont les managers des auvegardes, les administrateurs système, ceux qui gèrent le réseau et les serveurs que peuvent avoir accès à ces informations”, a expliqué Benjamin Sonntag. J’ai interrogé, Doctolib a effectivement reconnu dans un mail détaillé que “Les données de rendez-vous ne sont pas chiffrées de bout-en-bout (…) Cette technologie de pointe, encore peu acceptée (…) ne peut s’appliquer à l’ensemble des données consommées sans impact majeur pour les utilisateurs”convient à l’entreprise.

Quel serait cet impact ? “Notre code doit pouvoir avoir accès à certaines informations liées aux rendez-vous pour garantir l’utilité et le bon fonctionnement du servicerépond Doctolib dans son mail. Concrètement, si vous ne savez pas quoi faire, vous allez parler de l’un à l’autre, le service de s’abstenir de vous par SMS ou e-mail ne pourrait pas exister aujourd’hui.” Selon Doctolib, “un nom à trois restrictions de salaires pour accéder aux rendez-vous Médicaux, à des moments précis et pour des raisons précises, dans le cadre des fonctions supports”. C’est-à-dire lorsqu’un médecin ou un patient rencontre un bug sur le site ou l’application.

Doctolib précise également que les morceaux d’articulations échangés entre un patient et son médicament (compte-rendu d’analyses, radios, scanners, ordonnances…) et le flux de téléconsultations sont tous chiffrés d’une séance à l’autre. Aucun tiers n’y a accès. Le test que nous avons réalisé avec Benjamin Sonntag l’a confirmé. “Les rendez-vous Médicaux sont des données personnelles de santé au même titre que les pièces jointes échangées**”estime pourtant Alexandra Iteanu, avocate au barreau de Paris, spécialiste de la protection des données. “Ils devraient être protégés de la même manière.”

Pour autant Doctolib n’enfreint pas la loi en ne chiffrant pas de bout en bout l’ensemble des données médicales qu’il a en sa possession. “Le RGPD [règlement général sur la protection des données] ne rend pas obligatoirement le chiffrement de bout en bout. Il l’encourage simplement en disant qu’il faut mettre en place toutes les mesures techniques et organisationnelles pour protéger ces données”, précise l’avocat. Soustraire Doctolib fait preuve de « manque de transparence »estime Alexandra Iteanu car il communique sur un chiffrement de bout en bout qui n’est “pas mis en place en pratique”. Dans tous les cas pas totalement.

Le risque pour l’utilisateur n’est pas que théorique. “Les failles de sécurité viennent souvent de l’intérieur des entreprises” explique Alexandra Iteanu. “On n’est pas à l’abri qu’un salarié de Doctolib ill intentionné détourne ces données de manière malveillante ou les transmet à un tiersavance l’avocate. Un tiers qui pourrait être un assureur ou votre employeur. Mais ces données pourraient être aussi des revenus sur Internet”. Or les données de santé sont monnayées à prix d’or sur le dark web. Les intrusions extérieures sont également possibles, comme on l’a vu en juillet 2020. Les informations concernant 6 128 rendez-vous avaient été consultées illégalement par des pirates malveillants. Doctolib avait porté plainte.

L’entreprise a longtemps été ambiguë sur son chiffrement des données médicales. Il y a un document interne (en anglais) datant de septembre 2019 que nous avons recherché, il est écrit : “Ce n’est pas à strictement parler du chiffrement de bout en bout mais cela peut l’être en termes de communication.”

Document interne à Doctolib :

J’ai interrogé sur ce document, Doctolib affirme : “Nous avons toujours été clairs et transparents en matière de chiffrement.”

*JSON (JavaScript Object Notation) est un langage juridique permettant de modifier du texte entre un serveur et un navigateur Web. Pour les ordinateurs, ce format se genere et s’analyse facilement (source Journal du Net).

**Vu une décision du 12 mars 2021, le Conseil d’État a décidé que vous renonciez à Doctolib pour se faire vacciner contre le Covid-19 n’étaient pas des données de santé. Mais cette décision concernait uniquement les rendez-vous de vaccination et non l’ensemble des rendez-vous Médicaux pris sur Doctolib.

Aller plus longe :

>> Doctolib : success story ou danger pour le monde de la santé ?
>> Commentaire Doctolib fait partie de nos données de santé
>> Télé-consultation : un géant français en première en ligne

Leave a Comment