Doctolib ne chiffre pas intégralement les données concernant ses utilisateurs, selon Radio France

Nos données de santé personnelles sont-elles bien protégées par Doctolib ? La question est lancinante et de plus en plus récurrente après que la plateforme spécialisée d’attribution de rendez-vous médicaux en ligne est devenue incontournable avec la campagne de vaccination contre le Covid-19.

Pour répondre aux critiques, l’entreprise a assuré en 2020 que les données personnelles des utilisateurs étaient désormais « chiffrées de bout en bout ». « Cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance », garantissait à l’époque le communiqué de Doctolib. Une enquête de Radio France, parue vendue le 20 mai, montre cependant que le chiffrement des données n’est pas total.

Décryptage : Article réservé à nos abonnements Sécurité des données, position hégémonique… Faut-il avoir peur de Doctolib ?

Doctolib a accès à certaines informations en clair

La cellule d’investigation de la radio a publié un test avec l’appli de Benjamin Sonntag, co-fondateur de l’association La Quadrature du Net. Les informations concernant les rendez-vous médicaux passés et à venir de l’utilitaire étaient toujours accessibles « en clair » , de manière non chiffrée.

« Cela veut dire que Doctolib lui-même a ces informations en clair », explique Benjamin Sonntag à Radio France. Parmi ces informations : les noms et prénoms du patient, la date du rendez-vous, le nom et la spécialité du médecin consulté et même le motif de la consultation. Les morceaux des articulations sont échangés entre un patient et ils sont médicamentés via la plate-forme, ils sont bien protégés.

Les données sont également chiffrées lorsqu’elles sont en transit, et ne peuvent donc être consultées par des tiers, lorsqu’elles ont bien été interceptées. Le test de Radio France montre que ce sont les salariés de Doctolib que y ont accès, comme « Les responsables de la sécurité, les administrateurs système, ceux qui gèrent le réseau et les serveurs »d’après les détails de M. Sonntag.

Risque d’utilisation malveillante

La plate-forme bien reconnue auprès de Radio France qu’« un nom très restreint de salaires a accès aux rendez-vous Médicaux, à des moments précis et pour des raisons précises, dans le cadre des fonctions supports ». Selon Doctolib, « Les données de rendez-vous ne sont pas chiffrées de bout en bout » voiture cela empêchait « L’utilité et le bon fonctionnement du service »rendant par exemple impossible le rappel de rendez-vous par mail ou par texto.

Si cette situation n’est pas illégale, il est possible de courir le risque qu’un « Salarié de Doctolib malintentionné détourne ces données de manière malveillante ou les transmette à un tiers (…) qui pourrait être un assureur ou votre employeur », a rapporté à Radio France l’avocate Alexandra Iteanu, spécialiste de la protection des données.

Enquête : Article réservé à nos abonnements Les ambitions dévorantes de Doctolib

Doctolib a été révisé à de nombreuses reprises sur la protection des données détenues par la plate-forme. En 2021, de nombreuses associations et syndicats de professionnels de santé avaient déposé un recours devant le Conseil d’Etat concernant le partenariat entre l’Etat et Doctolib noué pour organiser les prises de rendez-vous dans le cadre de la campagne vaccinale contra le Covid- 19.

Les craignaient demandes que les données médicales de Français ne soient pas suffisamment protégées, car Doctolib héberge ses données chez Amazon Web Services, l’une des branches du groupe américain de l’e-commerce. Cette entreprise est soumise au droit américain, qui permet, sous certaines conditions, de demander de nombreuses données à des entités américaines fournissant des services à l’étranger.

Devant le Conseil d’Etat, il avait été question du chiffrement des données. L’un des demandeurs avait montré que certaines données attribuées sur les serveurs d’Amazon étaient, à certains moments, lisibles en clair et donc techniquement accessibles. La plus haute juridiction administrative avait cependant validé le partenariat et jugé que le chiffrement des données pratiqué par Doctolib n’était pas problématique.

Le Monde

Leave a Comment