Jeudi 23 juillet 2020, l’entreprise Doctolib a reconnu avoir été victime le 21 juillet d’un « acte malveillant » ayant permis à des pirates informatiques « d’accéder illégalement aux informations administratives de 6 128 rendez-vous ». Doctolib précise que cet accès illégal ne concerne pas les rendez-vous pris sur son site ou sur son logiciel de gestion de cabinet « mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib ».
Doctolib assure qu’aucune « information relative au dossier médical des patients » n’a été dérobée, précisant que le vol de données porte uniquement sur « le nom, le prénom, le sexe, le numéro de téléphone et l’adresse mail du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous ».
Doctolib parle de fuite de « données administratives ». « Doctolib veut certainement dire par là que des données telles les comptes-rendus ou les diagnostics ne sont pas touchées par la fuite, et que l’information d’un rendez-vous médical (date, heure nom du médecin, spécialité, etc.) relève de la catégorie « administratif ». Pourtant, « de façon générale, le corps médical a tendance à considérer que le passage d’un patient dans un service ou une Unité Fonctionnelle constitue, en soi, une information médicale ».
Vous pouvez estimer que « le passage en médecine générale ou chez un kiné ne donne pas, a priori, d’information sur votre état de santé » mais « diriez-vous la même chose du passage d’une jeune fille mineure dans un secteur d’IVG ? D’un individu quelconque à l’Institut Gustave Roussy (centre de lutte contre le cancer) ? D’une femme dans un service notoirement connu pour traiter les violences conjugales ? D’un jeune homme dans un service traitant du VIH ? »
Pour le Code de Santé Publique et la doctrine juridique, est « ‘de nature médicale’ toute donnée qui apporte une information sur l’état de santé de la personne ». Donc, « jusqu’à preuve du contraire (…) les données qui ont fuité doivent (…) être considérées comme médicales ».
Pour aller plus loin :
Les données de santé : cible des cybercriminels en temps de pandémie
Protection des données : la justice européenne invalide le transfert de données vers les États-Unis
Données de santé, liberté, état de droit : jusqu’où aller ?
Recherche et données de santé à l’heure du Big Data
Ouest France/AFP (23/07/2020)
Hospimedia (23/07/2020)
DSIH (27/07/2020)