Doctolib : faut-il avoir peur pour la sécurité de nos données médicales ?

Devenue la principale plateforme de prises de rendez-vous pour la vaccination au Covid-19, Doctolib détient aujourd’hui une quantité astronomique de données médicales. Une question demeure : comment sont-elles-traitées ?

Vous en avez forcément entendu parler. Pour cause, difficile de ne pas connaître la plateforme médicale Doctolib, surtout depuis qu’elle est devenue la gestionnaire de 90% des prises de rendez-vous dans les centres de vaccination français. En effet, l’entreprise a passé un accord en janvier 2021 avec l’État français pour gérer l’accès au rendez-vous, aux côtés des plateformes Maiia et KelDoc.

Résultat, 50 millions d’inscrits en France, 5 millions en Allemagne, et une plateforme privée utilisée par 25 000 médecins généralistes en France pour la prise de rendez-vous, soit près de la moitié du pays. Avec un service de prise de rendez-vous proposé à 120 € par mois pour les médecins, et 214 € par mois pour les centres de vaccination, Doctolib a gagné un beau pactole depuis le début de la pandémie. Pour vous donner un ordre d’idée, les 2600 lieux ouverts à la vaccination en France par les communes, les hôpitaux ou les agences régionales de santé représentent une enveloppe de 500 000 € par mois pour Doctolib. 

Face à cette hégémonie inquiétante de Doctolib, plusieurs professionnels de santé, des journalistes et des spécialistes en cybersécurité se sont penchés sur le traitement des données médicales que la plateforme collecte chaque jour. Sans surprise, certains éléments sont préoccupants, à commencer par le fait que Doctolib fait confiance aux services d’Amazon Web Service pour gérer ces données. 

Problème, le géant américain n’est pas soumis au RGPD de l’Union européenne. En d’autres termes, rien n’empêche l’entreprise de partager ces données avec les autorités américaines sur demande de Washington comme le prévoit le Foreign Intelligence Surveillance Act. À ce sujet, Doctolib assure avoir négocié des clauses avec Amazon pour empêcher tout transfert de données. 

À lire également : Phishing : attention à ce faux mail de Doctolib !

Un chiffrement de bout en bout cassé et une utilisation d’Amazon inquiétante

Seulement et comme le précise Juliette Alibert, avocat spécialisée dans la défense des libertés fondamentales, « Amazon n’aura pas le choix. Elle est soumise au droit américain et doit appliquer ce qu’on lui ordonne, le cas échéant de façon confidentielle. Les garanties contractuelles ne font pas le poids juridiquement face à ces lois extra-territoriales. Et puisque les données de Doctolib ne sont pas vraiment chiffrées de bout en bout, techniquement, elles sont accessibles à  Amazon et aux autorités américaines ». 

Oui, il faut rajouter à cela des faiblesses dans le chiffrement de bout en bout mis en avant par Doctolib sur son site. Alors que la plateforme assure que les données personnelles des patients ne sont accessibles qu’aux professionnels de santé, l’association Interhop a pu accéder aux données Doctolib alors qu’elles étaient stockées sur les serveurs Amazon, en clair. 

En d’autres termes, tout le monde peut y accéder, les équipes de Doctolib comme celles d’Amazon, le gouvernement américain si l’envie lui prend, et nos chers amis pirates informatiques. France Inter a également mis en avant ces failles dans un récent article : « Nous avons procédé à un test qui consiste à vérifier si les données sont chiffrées lorsque l’on se connecte à son compte, et qu’une requête est envoyée au serveur d’Amazon.

Ce procédé, qui consiste à lire les données telles qu’elles apparaissent dans le serveur avant d’être envoyées à l’usager lorsqu’il se connecte à son compte, a permis de constater que les données étaient déjà en clair à ce niveau, donc qu’elles n’étaient plus chiffrées ». Face à ces multiplies risques pour les données des Français, InterHop, le Syndicat de la médecine générale et la Ligue des droits de l’Homme ont demandé la rupture du contrat entre Doctolib et le ministère de la Santé. Sans succès malheureusement… Le Conseil d’État en a décidé autrement.

Source : Bastamag