Docteur

Doctolib : nos données médicales sont-elles suffisamment protégées ?

© Usman Yousaf - Unsplash

La cellule investigation de Radio France vient de dévoiler un test montrant que la plateforme Doctolib ne chiffrerait pas de bout en bout l’ensemble de nos données personnelles.

En 2020, Doctolib annonçait que la mise en œuvre du chiffrement de bout en bout des données médicales était effective. Le communiqué de Doctolib précisait : « Cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance. »

Doctolib : le chiffrement des données confidentielles n’est pas total

La cellule d’investigation de Radio France, accompagnée du développeur Benjamin Sonntag, cofondateur de l’association La Quadrature du Net, a mené l’enquête pour vérifier la véracité de ces déclarations. Dans les résultats publiés le 20 mai 2022 sur son site, Radio France indique que contrairement à ce que prétendrait l’entreprise, le chiffrement des données confidentielles ne serait pas total. En effet, les tests effectués auraient révélé que des informations concernant les rendez-vous médicaux des utilisateurs seraient accessibles « en clair » . « Or ces rendez-vous médicaux sont signifiants et renseignent sur l’état de santé d’une personne » , indique Benjamin Sonntag.

Autre problème selon les enquêteurs : certaines des données de santé seraient visibles par des salariés de Doctolib tels que les responsables des sauvegardes ou les administrateurs. Un risque non négligeable quand on connaît la valeur de ce type de données sur le dark web.

Interrogé par Radio France, Doctolib a admis que : « Les données de rendez-vous ne sont pas chiffrées de bout en bout. […] Cette technologie de pointe, encore peu répandue […] ne peut s’appliquer à l’ensemble des données traitées sans impact majeur pour les utilisateurs. » L'entreprise se justifie en indiquant qu'il lui est nécessaire d'accéder à certaines informations afin de garantir le bon fonctionnement de son service. « Concrètement, si les données de rendez-vous étaient chiffrées de bout en bout, le service de rappel de rendez-vous par SMS ou e-mail ne pourrait pas exister aujourd’hui.

Doctolib a toutefois précisé que les documents échangés entre un patient et son médecin ainsi que les flux de téléconsultations étaient quant à eux chiffrés en totalité. Des éléments confirmés par l'enquête de Radio France.

Doctolib enfreint-il la loi ?

Non, puisque la réglementation RGPD encourage le chiffrement de bout en bout mais ne l’impose pas. Toutefois, pour Alexandra Iteanu, avocate au barreau de Paris spécialisée en protection des données, interrogée par la cellule investigation de Radio France, Doctolib fait preuve de « manque de transparence en communiquant sur un chiffrement de bout en bout qui n’est pas effectif. »

Concernant l'enquête de Radio France, Doctolib dénonce des allégations trompeuses et a publié un article en réponse, baptisé : « Est-ce que Doctolib protège bien vos données ? La réponse est oui. » Dans son article, Doctolib indique être constamment audité et avoir reçu « les certifications justifiant de ses meilleures pratiques en termes de protection des données (ISO 27001, HDS) » .

Découvrir l'enquête de la cellule d'investigation de Radio France.

commentaires

Participer à la conversation

  1. Anonyme dit :

    Pour se persuader de la pietre protection des donnees sur Doctolib il suffit de tenter de télécharger un document sous Android : au lieu du telechrgement l'appli ne propose que le partage du document, évidemment en clair.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.