Doctolib : des données pas complètement chiffrées

Publié le 23 Mai, 2022

Dans un communiqué de presse daté du 19 juin 2020, la société Doctolib annonçait l’adoption du « chiffrement de bout en bout[1] pour les données personnelles de santé de ses utilisateurs ». Ce que dément une enquête récente de Radio France.

« Cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance », affirmait le communiqué. Pourtant le test réalisé en présence de Benjamin Sonntag, cofondateur de l’association La Quadrature du Net, permet de constater des « échanges entre Doctolib et votre ordinateur ». Des informations relatives aux prochains rendez-vous médicaux, y compris le motif de la consultation, disponibles « en clair ». Ce qui montre que l’entreprise dispose également de ces détails sans chiffrement.

Pourtant, « ces rendez-vous médicaux sont signifiants et renseignent sur l’état de santé d’une personne ». « Si vous allez régulièrement chez un oncologue ou chez un psychologue, cela raconte quelque chose sur votre état de santé », explique Benjamin Sonntag.

Une protection temporaire

L’enquête de Radio France a montré que les données sont bien chiffrées « quand elles sont en transit »[2]. Mais « chez Doctolib, des salariés ont bien accès aux détails de nos rendez-vous médicaux ». Et « les failles de sécurité viennent souvent de l’intérieur des entreprises », souligne Alexandra Iteanu, avocate au barreau de Paris, spécialiste en protection des données.

Confrontée, l’entreprise a reconnu les faits. La technologie de chiffrement de bout-en-bout « ne peut s’appliquer à l’ensemble des données traitées sans impact majeur pour les utilisateurs » se justifie Doctolib. « Si les données de rendez-vous étaient chiffrées de bout en bout, le service de rappel de rendez-vous par SMS ou e-mail ne pourrait pas exister aujourd’hui. »

Pas d’infraction

En n’effectuant pas ce chiffrement Doctolib n’enfreint pas la loi, car le RGPD[3] ne le rend pas obligatoire. « Il l’encourage simplement en disant qu’il faut mettre en place toutes mesures techniques et organisationnelles pour protéger ces données », explique Me Iteanu.

Une situation dont est bien consciente la société qui notait dans un document interne de septembre 2019 : « Ce n’est pas à strictement parler du chiffrement de bout en bout mais cela peut l’être en termes de communication ».

 

[1] « end-to-end encryption » en anglais

[2] « Les pièces jointes échangées entre un patient et son médecin (compte-rendu d’analyses, radios, scanners, ordonnances…) et les flux de téléconsultations sont eux chiffrés de bout en bout. »

[3] Règlement général sur la protection des données

Source : France Info, Géraldine Hallot (20/05/2022) – Photo : iStock

Partager cet article

[supsystic-social-sharing id='1']

Synthèses de presse

Irlande du Nord : les directives sur le genre supprimées pour les écoles primaires
/ Genre

Irlande du Nord : les directives sur le genre supprimées pour les écoles primaires

Les directives qui indiquaient que « les enfants peuvent prendre conscience qu'ils sont transgenres » « entre trois et cinq ...
justice
/ Genre

Japon : une femme transgenre reconnue père d’un enfant

La Cour suprême du Japon a reconnu qu’une femme transgenre était le père d’une petite fille conçue grâce à son ...
Angleterre : des données de santé divulguées sur le darknet
/ E-santé

Angleterre : des données de santé divulguées sur le darknet

Après la cyberattaque qui a touché des hôpitaux londoniens, des informations médicales sensibles ont été publiées sur le darknet entre ...

Textes officiels

Fiches Pratiques

Bibliographie

Lettres