Doctolib : Existe-t-il des failles dans la gestion de vos données de santé ?

Après avoir été accusée de mal protéger les données de ses utilisateurs, l’entreprise Doctolib a publiquement démenti.

Le site internet Doctolib a révolutionné le système médical en facilitant largement la price de rendez-vous. L’entreprise française compte aujourd’hui plus de 50 millions d’utilisateurs, et possède un chiffre d’affaires annuel de 150 à 200 millions d’euros.

Cependant, cette numérisation de la santé fragilise les données personnelles médicales de la population.

Si Doctolib a longtemps déclaré préserver les informations de ses utilisateurs, une enquête Radio France affirme que ce ne serait pas forcément le cas.

Que révèle l’enquête ?

L’affaire est basée sur un problème de code. En 2020, Doctolib s’était félicité d’utiliser un chiffrement de “bout en bout”.

Cette technique informatique de protection des données, permet de garantir à l’utilisateur que seuls lui et son médecin puissent accéder à ses information de sante.

Cependant, cette technique ne serait pas utilisée pour toutes les données du patient.

D’après France Info, les informations concernant les rendez-vous des utilisateurs (date, heure, motif)ne seraient pas chiffrées “de bout en bout”.

Si une personne lambda ne peut pas accéder à ces données, un spécialiste explique que certain employments de chez Doctolib comme “les responsables des sauvegardes, les administrateurs système, ceux qui gèrent le réseau et les serveurs” y ont acces.

La réponse de Doctolib

Lors de leur enquête, Radio France a contacté Doctolib qui aurait reconnu que les rendez-vous ne sont pas “chiffrés de bout en bout”, pour des raisons apparemment techniques.

Pourquoi le chiffrement de bout-en-bout n’est-il pas utilisé pour les rendez-vousu2753

Pour une raison simple: garantir le bon fonctionnement de nos services, comme l’envoi de SMS de rappel. À notre connaissance, aucun service en Europe n’applique cette méthode sur des rendez-vous.

— Doctolib (@doctolib) May 20, 2022

Cependant, après la publication de l’enquête, Doctolib a déclaré explicitement : “c’est faux”avant de reprendre point par point les accusations.

Selon eux, seul un nombre très restreint du personnel pourrait occasionnellement avoir accès au données d’un utilisateur.

Mais ils déclarent que :Tous les acces sont accordés, révoqués, audités, contrôlés et respectent un processus strict et centralisé”.

(3) Ces salariés ont des habilitations temporaires, retirées à la fin de la résolution du problème de l’utilisateur. Tous les accès sont accordés, révoqués, audités, contrôlés et respectent un processus strict et centralisé (certification ISO 27001).

— Doctolib (@doctolib) May 20, 2022

Quelles informations sont donc vraies?

Les informations concern les rendez-vous des patients seraient bel et bien accessibles à une personne tierce, mais à certain occasions seulement.

(2) To demand d’un praticien ou d’un patient and sous leur supervision, un nombre restreint de salariés spécifiquement habilités doit pouvoir avoir accès à un nombre limité d’informations pour pouvoir porter assistance à nos.utilis

— Doctolib (@doctolib) May 20, 2022

Vos données de santé Doctolib ne devraient donc pas être utilisées ou stockées, à moins qu’un employé habilité transgresse les règles.

Alexandra Iteanuavocate au barreau de Paris et spécialiste en protection des données explique tout de même “Les rendez-vous médicaux sont des données personnelles de santé” et “devraient être protégés de la même manière”.

Leave a Comment