Les données transitant par Doctolib sont-elles aussi bien protégées que l'entreprise l'affirme ?

Les données transitant par Doctolib sont-elles aussi bien protégées que l’entreprise l’affirme ?

Dans une enquête, France Inter affirme que Doctolib protège mal les données transitant via sa plateforme de rendez-vous et de téléconsultation, car Amazon et l’entreprise elle-même auraient accès à ces informations. Le sujet est en réalité plus complexe. La licorne protège bien les données les plus sensibles grâce à un protocole de chiffrement de bout en bout conçu par la start-up Tanker. Mais le reste des données est également chiffré et n’est pas accessible par n’importe qui.

Quelques jours après avoir été attaqué en justice par des médecins dans le cadre de la campagne de vaccination contre le Covid-19, Doctolib est de nouveau accusé d’insuffisamment protéger les données de santé des patients.

D’après une enquête menée par France Inter, les données personnelles transitant par la plateforme de prise de rendez-vous et de téléconsultation seraient accessibles par Amazon Web Services, en tant que fournisseur de cloud choisi par Doctolib, et par la licorne elle-même. “Ce procédé (…) a permis de constater que les données étaient déjà en clair à ce niveau, donc qu’elles n’étaient plus chiffrées”, conclut l’enquête journalistique, sans toutefois préciser sa méthodologie.

Doctolib traite des données sensibles

Ces accusations ne sont pas anodines puisque l’entreprise traite des données sensibles, au sens du Règlement général sur la protection des données, et se pose régulièrement en grand défenseur de la vie privée. Dans cette logique, le 19 juin 2020, elle annonçait avoir adopté “le chiffrement de bout en bout” après un travail de deux années mené avec Tanker, une start-up française éditrice d’une solution de chiffrement intégrable dans le code des logiciels SaaS.

Grâce au protocole de communication de la start-up, “les données personnelles de santé des patients qui utilisent Doctolib ne sont accessibles qu’aux patients et à leurs professionnels de santé en toutes circonstances”, affirmait la pépite dans son communiqué. En effet, il autorise seulement les personnes qui communiquent, en l’espèce le médecin et son patient, à lire les messages échangés. Ni Doctolib, ni AWS ne peuvent y avoir accès.

L’application du chiffrement de bout en bout est limité

Sollicité par L’Usine Digitale, Doctolib explique qu’il faut bien faire la distinction entre “les données de santé des patients”, telles que les résultats d’examen biologique et les ordonnances, et “les données de santé administratives” comme le nom, le prénom, la date de naissance… du patient, qui sont certes personnelles mais moins sensibles qu’un groupe sanguin par exemple.[…]

Seules les “données de santé des patients” sont donc protégées par la technologie de Tanker[…]

Le choix d’AWS soulève des craintes

La politique de confidentialité de Doctolib va être disséquée par la justice. En effet, des associations de médecins et de patients ont saisi le Conseil d’Etat estimant que les données de santé des patients étaient mal protégées puisqu’elles sont hébergées par Amazon Web Services, qui est soumis, en tant qu’entreprise située aux Etats-Unis, au pouvoir arbitraire des services de renseignements américains.

Depuis l’invalidation du Privacy Shield par le juge européen, cette crainte s’est traduite par une interdiction de transférer les données des Européens vers les Etats-Unis…[Lire la suite]

Source : Les données transitant par Doctolib sont-elles aussi bien protégées que l’entreprise l’affirme ?

Journaliste : ALICE VITARD

Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

Vous souhaitez réagir ?
Profitez-en pour laisser un commentaire ci-dessous.

Vous souhaitez mettre votre établissement en conformité avec le RGPD ?
Consultez nos bons conseils, contactez-nous, demandez-nous un devis.

Vous êtes futur ou actuellement DPO et souhaitez être rassuré ou accompagné dans vos démarches ? Nous proposons des accompagnements sur mesure

Vous souhaitez mettre en place des démarches pour améliorer votre cybersécurité ? Nous pouvons vous accompagner