Dans un communiqué de presse daté du 19 juin 2020, la société Doctolib annonçait l’adoption du « chiffrement de bout en bout[1] pour les données personnelles de santé de ses utilisateurs ». Ce que dément une enquête récente de Radio France.
« Cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance », affirmait le communiqué. Pourtant le test réalisé en présence de Benjamin Sonntag, cofondateur de l’association La Quadrature du Net, permet de constater des « échanges entre Doctolib et votre ordinateur ». Des informations relatives aux prochains rendez-vous médicaux, y compris le motif de la consultation, disponibles « en clair ». Ce qui montre que l’entreprise dispose également de ces détails sans chiffrement.
Pourtant, « ces rendez-vous médicaux sont signifiants et renseignent sur l’état de santé d’une personne ». « Si vous allez régulièrement chez un oncologue ou chez un psychologue, cela raconte quelque chose sur votre état de santé », explique Benjamin Sonntag.
Une protection temporaire
L’enquête de Radio France a montré que les données sont bien chiffrées « quand elles sont en transit »[2]. Mais « chez Doctolib, des salariés ont bien accès aux détails de nos rendez-vous médicaux ». Et « les failles de sécurité viennent souvent de l’intérieur des entreprises », souligne Alexandra Iteanu, avocate au barreau de Paris, spécialiste en protection des données.
Confrontée, l’entreprise a reconnu les faits. La technologie de chiffrement de bout-en-bout « ne peut s’appliquer à l’ensemble des données traitées sans impact majeur pour les utilisateurs » se justifie Doctolib. « Si les données de rendez-vous étaient chiffrées de bout en bout, le service de rappel de rendez-vous par SMS ou e-mail ne pourrait pas exister aujourd’hui. »
Pas d’infraction
En n’effectuant pas ce chiffrement Doctolib n’enfreint pas la loi, car le RGPD[3] ne le rend pas obligatoire. « Il l’encourage simplement en disant qu’il faut mettre en place toutes mesures techniques et organisationnelles pour protéger ces données », explique Me Iteanu.
Une situation dont est bien consciente la société qui notait dans un document interne de septembre 2019 : « Ce n’est pas à strictement parler du chiffrement de bout en bout mais cela peut l’être en termes de communication ».
[1] « end-to-end encryption » en anglais
[2] « Les pièces jointes échangées entre un patient et son médecin (compte-rendu d’analyses, radios, scanners, ordonnances…) et les flux de téléconsultations sont eux chiffrés de bout en bout. »
[3] Règlement général sur la protection des données
Source : France Info, Géraldine Hallot (20/05/2022) – Photo : iStock
