Doctolib : vol de données personnelles sur plus de 6000 rendez-vous

Publié le : 28 juillet 2020

Jeudi 23 juillet 2020, l’entreprise Doctolib a reconnu avoir été victime le 21 juillet d’un « acte malveillant » ayant permis à des pirates informatiques « d’accéder illégalement aux informations administratives de 6 128 rendez-vous ». Doctolib précise que cet accès illégal ne concerne pas les rendez-vous pris sur son site ou sur son logiciel de gestion de cabinet « mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib ».

Doctolib assure qu’aucune « information relative au dossier médical des patients » n’a été dérobée, précisant que le vol de données porte uniquement sur « le nom, le prénom, le sexe, le numéro de téléphone et l’adresse mail du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous ».

Doctolib parle de fuite de « données administratives ». « Doctolib veut certainement dire par là que des données telles les comptes-rendus ou les diagnostics ne sont pas touchées par la fuite, et que l’information d’un rendez-vous médical (date, heure nom du médecin, spécialité, etc.) relève de la catégorie « administratif ». Pourtant, « de façon générale, le corps médical a tendance à considérer que le passage d’un patient dans un service ou une Unité Fonctionnelle constitue, en soi, une information médicale ».

Vous pouvez estimer que « le passage en médecine générale ou chez un kiné ne donne pas, a priori, d’information sur votre état de santé » mais « diriez-vous la même chose du passage d’une jeune fille mineure dans un secteur d’IVG ? D’un individu quelconque à l’Institut Gustave Roussy (centre de lutte contre le cancer) ? D’une femme dans un service notoirement connu pour traiter les violences conjugales ? D’un jeune homme dans un service traitant du VIH ? »

Pour le Code de Santé Publique et la doctrine juridique, est  « ‘de nature médicale’ toute donnée qui apporte une information sur l’état de santé de la personne ». Donc, « jusqu’à preuve du contraire (…) les données qui ont fuité doivent (…) être considérées comme médicales ».

 

Pour aller plus loin :

 

Sources : Ouest France/AFP (23/07/2020) – Hospimedia (23/07/2020) – DSIH (27/07/2020)

Partager cet article

Synthèse de presse

Chronique audio

Textes officiels

ressources

Fiches pratiques

Bibliographies

S'abonner aux lettres