En juin 2020, alors que Doctolib explose grâce à l’essor des téléconsultations, la plateforme française annonce que toutes les données de santé qui transitent sur son site seront désormais « chiffrées de bout en bout et accessibles uniquement au patient et médecin ». Deux ans plus tard, la cellule d’investigation de Radio France a mené l’enquête et révélé le 20 mai que « certaines données médicales » présentes sur la plateforme « ne sont pas entièrement protégées ».
Après une rapide connexion à l’espace patient, les journalistes de Radio France – aidés par l’association de défense des droits et libertés sur internet La Quadrature du net – ont pu mettre à jour les données échangées entre l’ordinateur du patient et la start-up. Après inspection du code de la page, la cellule d’investigation révèle que les données liées aux rendez-vous médicaux – passés et futurs – n’étaient pas chiffrées et accessibles en « clair ».
Nom, spécialité du médecin, motifs…
« Nous voyons les détails de nos prochains rendez-vous : nom et prénom du patient, date et heure du rendez-vous, nom et spécialité du médecin et même le motif de la consultation », précise le média. Chez Doctolib, des salariés ont accès à ces détails médicaux, même si, « élément rassurant » pour Radio France, ces data sont tout de même chiffrées lors du transit entre le navigateur web du patient et l’entreprise. Autre élément rassurant : les comptes rendus médicaux, ordonnances, examens radio ou flux de téléconsultation, sont bien chiffrés de bout en bout. « Le chiffrement de bout en bout garantit que les données personnelles de santé des patients qui utilisent Doctolib ne sont accessibles qu’aux patients et à leurs professionnels de santé en toutes circonstances », affirmait Doctolib en juin 2020.
Aujourd'hui, en réponse à l’enquête publiée par Radio France, la licorne tricolore reconnaît que certains salariés habilités peuvent avoir accès aux détails des rendez-vous médicaux, ce qui ne remettrait pas en cause la sécurité. « À la demande d’un praticien ou d’un patient et sous leur supervision, un nombre restreint de salariés spécifiquement habilités doit pouvoir avoir accès à un nombre limité d’informations pour pouvoir porter assistance à nos utilisateurs », explique Doctolib.
Ce matin, @franceinter et @franceinfo ont mis en ligne un article laissant à penser que Doctolib ne chiffrerait pas les données de ses utilisateurs.
— Doctolib (@doctolib) May 20, 2022
C’est faux. Nous souhaitons donc y répondre point par point ? https://t.co/XhqSIU8SCb
Habilitations temporaires
La plateforme – propulsée en mars dernier à la tête des start-up hexagonales en termes de valorisation – souligne aussi que « ces salariés ont des habilitations temporaires, retirées à la fin de la résolution du problème de l’utilisateur ». « Tous les accès sont accordés, révoqués, audités, contrôlés et respectent un processus strict et centralisé », assure Doctolib.
Pour les rendez-vous médicaux, la société n’utilise donc par le chiffrement « de bout en bout », mais « au repos et en transit ». La start-up valorisée à 5,8 milliards d’euros, affirme que le chiffrement complet est en réalité impossible pour les prises de rendez-vous. « Pour une raison simple : garantir le bon fonctionnement de nos services, comme l’envoi de SMS de rappel », avance Doctolib.
Faille ?
Si Doctolib respecte les règlements français et européens en matière de données de santé, reste que des failles de sécurité – provenant notamment de l’intérieur de l’entreprise – ne sont pas exclues, avance Radio France. « Les intrusions extérieures sont également possibles, comme on l'a vu en juillet 2020, illustre le média. Les informations concernant 6 128 rendez-vous avaient été consultées illégalement par des pirates malveillants. » Doctolib avait, à l’époque, porté plainte.
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes