Avec plus de 60 millions d’utilisateurs, Doctolib est un puit sans fond sur la question des données médicales. Son hébergement a rapidement soulevé des questions. Avec de telles informations confidentielles, comment se débrouille la startup pour garantir leur sécurité ? Utilise-t-elle cette data pour gagner de l’argent ? Dans une enquête de Radio France, le mystère a été élucidé et le constat est loin de faire la promotion à la plateforme.
Selon les journalistes du service public, le chiffrement de bout en bout promis par Doctolib n’est pas total. Du moins, il ne concerne pas la partie sur les prises de rendez-vous. Votre nom, prénom, le professionnel de santé concerné, le motif de votre consultation… ces informations confidentielles n’appartiendraient pas à la politique de chiffrement de bout en bout mis en avant par Doctolib.
Le 21 janvier dernier, la plateforme annonçait le rachat de Tanker, une startup spécialisée dans ce type de chiffrement. À ce moment, la plateforme de prise de rendez-vous médicaux martelait sa totale transparence sur la protection des données de ses utilisateurs. Mais si les révélations de l’enquête Radio France se confirment, alors Doctolib aurait bel et bien omis de signaler cette précision concernant les données des rendez-vous… son coeur de métier.
Qui a accès à vos données Doctolib ?
Pour mener à bien son enquête, les journalistes du groupe de radio ont utilisé un débogueur et on analysé le code source de la plateforme. Concernant les données qui n’étaient pas chiffrées selon eux, il suffirait d’être salarié chez Doctolib pour pouvoir facilement accéder aux données confidentielles des patients. Rien de très rassurant alors que Doctolib devrait bientôt compter plus de 2800 salariés d’ici la fin de l’année.
Pour se défendre, la société a publié une série de tweet d’explications sur Twitter. On y apprend que la plateforme ne peut pas chiffrer de bout en bout ces quelques données de rendez-vous, car celles-ci font le fruit des fonctionnalités de rappel par SMS, qui nécessite aux outils informatiques d’avoir accès aux données pour les utiliser.
Pourquoi le chiffrement de bout-en-bout n’est-il pas utilisé pour les rendez-vous❓
Pour une raison simple: garantir le bon fonctionnement de nos services, comme l’envoi de SMS de rappel. À notre connaissance, aucun service en Europe n’applique cette méthode sur des rendez-vous.
— Doctolib (@doctolib) May 20, 2022
“Cette méthode avant-gardiste est déployée pour la protection des documents médicaux, pour notre logiciel médical et pour la téléconsultation. Cette technologie n’est pas utilisée pour les rendez-vous”, finissait bien par reconnaître Doctolib. “Cela veut dire que Doctolib lui-même a ces informations en clair”, constatait Benjamin Sonntag, le cofondateur de l’association La Quadrature du Net, qui a collaboré avec Radio France lors de l’enquête.
En 2020, un piratage massif avait mis la puce à l’oreille sur cette politique chez Doctolib. En effet, les données de plus de 6000 rendez-vous avaient fuité sur Internet. Les coordonnées, les noms, prénoms et les motifs des consultations faisaient partie des données concernées. Mais “aucune information relative au dossier médical des patients” n’avait été touchée.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Le chiffrement n’est pas le seul levier de sécurité, c’est dingue que des journalistes spécialisés n’aient toujours pas compris cela. Cette technique du chiffrement de bout en bout, personne ne l’utilise, ni Ameli, ni la CNAV, ni les mutuelles, ni le DMP.