Radio France annonce après une investigation que Doctolib ne sécurise pas totalement les données des utilisateurs. Cette absence de chiffrage intégral permet à certains employés d’accéder aux informations privées. L’équipe diligentée sur cette enquête a démontré le contraire malgré l’engagement de Doctolib. Cette promesse était de garantir le chiffrement des informations de santé « de bout en bout ».
En 2020, au mois de juin, Doctolib faisait une annonce rassurante pour ses utilisateurs. Il s’agissait de mettre en place un système de protection des données entre le corps médical et les patients. Le communiqué de l’entreprise affirmait que :
Cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance.
Les consultants IT ainsi que les informaticiens freelances sont éligibles au statut de salarié porté. En procédant à un portage salarial simulation, il est possible d’évaluer la rémunération nette à percevoir. Les experts informatiques pourront mener en parfaite autonomie leur activité avec le statut et les avantages d’un indépendant.
Une possible violation des données sur Doctolib
Benjamin Sonntag concepteur et cofondateur de La Quadrature du Net en partenariat avec Radio France ont effectué un test. Ils se sont connectés sur l’interface de Doctolib puis ont infiltré le code de la page. Le constat de test était sans appel. Certaines informations liées aux entretiens déjà effectués ou ultérieurs étaient encore visibles de façon non cryptée. Benjamin Sonntag déduit que Doctolib a en sa possession ces données en clair.
Les informations en question portaient sur :
· La date et l’heure du rendez-vous ;
· Les nom et prénoms du patient ;
· Le motif de la consultation ;
· Le nom et la spécialité du médecin.
Les employés de Doctolib peuvent donc accéder à ces données sensibles. Ce sont notamment :
· Les administrateurs qui contrôlent le réseau et les serveurs ;
· Ceux qui gèrent les sauvegardes ;
· Les administrateurs système.
Comme justification à ces manquements, la société a précisé que le chiffrage de bout en bout :
Ne peut s’appliquer à l’ensemble des données traitées sans impact majeur pour les utilisateurs.
Si le chiffrement intégral était possible, selon l’entreprise toujours, les conséquences seraient de ne pas assurer le bon fonctionnement du service.
À l’instar des relances d’un rendez-vous par message ou courriel qui ne seraient pas possibles par exemple.
Certaines informations personnelles mieux protégées que d’autres
Malgré le risque de fuite d’informations, certaines données sont totalement protégées. Il s’agit par exemple des documents joints transmis entre le médecin traitant et son patient sur le site. Ou quand ces pièces sont en instance de délivrance. Au regard de la loi, Doctolib n’est pas coupable en ne sécurisant pas toutes les informations privées. Cependant, on ne peut pas exclure le risque de piratage informatique sur les données des utilisateurs. Alexandra Iteanu, avocate et experte en protection des informations déclare :
On n’est pas à l’abri qu’un salarié de Doctolib mal intentionné détourne ces données de manière malveillante ou les transmette à un tiers (…) qui pourrait être un assureur ou votre employeur.
Cette spécialiste confirme aussi que la possibilité que ces données soient revendues sur le web n’est pas à écarter.
D’où la nécessité d’être prudent dans le recrutement des informaticiens et experts en IT. Concernant ces derniers, certains décident de travailler de manière autonome. Surtout à cause des avantages procurés par le statut de salarié porté. Comme la simplicité des formalités administratives ou le gain de temps dans la recherche de collaboration professionnelle.