Doctolib : Existe-t-il des failles dans la gestion de vos données de santé ? - L'Indépendant

Après avoir été accusée de mal protéger les données de ses utilisateurs, l'entreprise Doctolib a publiquement démenti. 

Le site internet Doctolib a révolutionné le système médical en facilitant largement la prise de rendez-vous. L'entreprise française compte aujourd'hui plus de 50 millions d'utilisateurs, et possède un chiffre d’affaires annuel de 150 à 200 millions d'euros. 

Cependant, cette numérisation de la santé fragilise les données personnelles médicales de la population. 

Si Doctolib a longtemps déclaré préserver les informations de ses utilisateurs, une enquête Radio France affirme que ce ne serait pas forcément le cas.

Que révèle l'enquête ?

L'affaire est basée sur un problème de codage. En 2020, Doctolib s'était félicité d'utiliser un chiffrement de "bout en bout".

Cette technique informatique de protection des données, permet de garantir à l'utilisateur que seuls lui et son médecin puissent accéder à ses informations de santé. 

Cependant, cette technique ne serait pas utilisée pour toutes les données du patient.

D'après France Info, les informations concernant les rendez-vous des utilisateurs (date, heure, motif), ne seraient pas chiffrées "de bout en bout". 

Si une personne lambda ne peut pas accéder à ces données, un spécialiste explique que certains employés de chez Doctolib comme "les responsables des sauvegardes, les administrateurs système, ceux qui gèrent le réseau et les serveurs" y ont accès.

La réponse de Doctolib

Lors de leur enquête, Radio France a contacté Doctolib qui aurait reconnu que les rendez-vous ne sont pas "chiffrés de bout en bout", pour des raisons apparemment techniques.

Pourquoi le chiffrement de bout-en-bout n’est-il pas utilisé pour les rendez-vous\u2753

Pour une raison simple: garantir le bon fonctionnement de nos services, comme l’envoi de SMS de rappel. À notre connaissance, aucun service en Europe n’applique cette méthode sur des rendez-vous.

— Doctolib (@doctolib) May 20, 2022

Cependant, après la publication de l'enquête, Doctolib a déclaré explicitement : "c'est faux", avant de reprendre point par point les accusations.

Selon eux, seul un nombre très restreint du personnel pourrait occasionnellement avoir accès au données d'un utilisateur.

Mais ils déclarent que :" Tous les accès sont accordés, révoqués, audités, contrôlés et respectent un processus strict et centralisé".

(3) Ces salariés ont des habilitations temporaires, retirées à la fin de la résolution du problème de l’utilisateur. Tous les accès sont accordés, révoqués, audités, contrôlés et respectent un processus strict et centralisé (certification ISO 27001).

— Doctolib (@doctolib) May 20, 2022

Quelles informations sont donc vraies?

Les informations concernant les rendez-vous des patients seraient bel et bien accessibles à une personne tierce, mais à certaines occasions seulement.

(2) À la demande d’un praticien ou d’un patient et sous leur supervision, un nombre restreint de salariés spécifiquement habilités doit pouvoir avoir accès à un nombre limité d’informations pour pouvoir porter assistance à nos utilisateurs.

— Doctolib (@doctolib) May 20, 2022

Vos données de santé Doctolib ne devraient donc pas être utilisées ou stockées, à moins qu'un employé habilité transgresse les règles.

Alexandra Iteanu, avocate au barreau de Paris et spécialiste en protection des données explique tout de même "Les rendez-vous médicaux sont des données personnelles de santé" et "devraient être protégés de la même manière".

Adblock test (Why?)

https://news.google.com/__i/rss/rd/articles/CBMifGh0dHBzOi8vd3d3LmxpbmRlcGVuZGFudC5mci8yMDIyLzA1LzIwL2RvY3RvbGliLWV4aXN0ZS10LWlsLWRlcy1mYWlsbGVzLWRhbnMtbGEtZ2VzdGlvbi1kZS12b3MtZG9ubmVlcy1kZS1zYW50ZS0xMDMwNzIwMy5waHDSAQA?oc=5

Bagikan Berita Ini