Le service de prise en ligne de rendez-vous médicaux Doctolib a annoncé jeudi 23 juillet 2020 avoir été victime d’un vol de données dû à une faille de sécurité le 21 juillet 2020.

Selon Doctolib, la vulnérabilité ne semble pas concerner le service en tant que tel, mais une interface de programmation (API) qui permet à des logiciels spécialisés de se connecter à Doctolib.

Des attaquants ont ainsi pu accéder aux informations administratives de 6128 rendez-vous, comprenant des numéros de téléphone, adresses électroniques, spécialités du professionnel de santé. En revanche, les mots de passes des comptes et les motifs de rendez-vous ne seraient pas concernés par ce vol.

Doctolib a porté plainte, notifié la CNIL de l’incident, et déclare contacter directement les patients concernés.

Commentaire de notre Expert :

Les fuites de données représentent de vraies plaies pour les responsables de traitement et encore plus lorsqu’il s’agit de données à caractère personnel. C’est la pire des choses qui puisse arriver à des propriétaires de données à caractère personnel car en général, les établissement sont absolument incapables de détecter une fuite de données. Ce n’est que lorsque les données sont diffusées en clair, lorsque la presse diffuse l’info en « Une » ou lorsque les données sont utilisées à des fins malveillantes que le dépositaire découvre qu’il a été volé.
Il n’y a pas que dans le cas de fuites de données dites «sensibles » ou « particulières » que l’impact peut être important pour leurs propriétaires. Il est souvent oublié de considérer de simples adresses, dates de naissances ou numéros de téléphones comme étant DANS TOUS LES CAS des données CONFIDENTIELLES.

Les conséquences d’une fuite de données à cacactères personnel sont multiples :

• Diffusion sur Internet d’informations confidentielles ;
• Diffusion sur Internet d’informations pouvant être utilisées à l’insu de leur propriétaire ;
• Diffusion sur Internet d’informations pouvant être utilisées à des fins malveillantes telles que l’usurpation d’identité ;
• Perte de confiance des usagers dans l’organisme concerné ;

Ce que dit la CNIL : « Le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées. »

Ainsi, même si le professionnel se trouve victime de piratage et d’une fuite de données à caractère personnel, il doit, dans les 72 heures après avoir pris connaissance de l’acte malveillant, le signaler à la CNIL qui jugera utile d’accompagner le professionnel, enquêter, mettre en demeure et éventuellement sanctionner les négligeances ou obliger d’informer les propriétaires des données volées.

La sanction pouvant être pire qu’une sanction financière, tant la réputation peut être entachée, nous conseillons fortement de faire auditer votre installation tant en terme de sécurité qu’en terme de démarche de mise en conformité RGPD.