Doctolib : nos données médicales ne sont pas entièrement protégées

Doctors turn to imperfect AI to spend more quality time with patients

En quelques années, Doctolib est devenu un acteur phare du système de santé avec 50 millions d’utilisateurs en France. Mais contrairement à ce que l’entreprise a longtemps affirmé, nos données personnelles ne sont pas entièrement chiffrées.

Après un travail de deux ans mené avec Tanker, entreprise technologique française de pointe spécialisée dans la sécurisation des données (…), Doctolib annonce aujourd’hui la mise en œuvre du chiffrement de bout en bout pour les données personnelles de santé de ses utilisateurs.” En juin 2020, juste après le premier confinement, Doctolib publiait un communiqué de presse pour annoncer la mise en œuvre du chiffrement de bout en bout (end-to-end encryption, en anglais) des données médicales de ses utilisateurs. Ce qui signifie, en théorie, que seuls les patients et leurs médecins peuvent y avoir accès. Le communiqué de Doctolib précisait également : “Cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance.”

Deux ans plus tard, alors que Doctolib a joué un rôle central dans la vaccination des Français contre la Covid-19, la cellule investigation de Radio France a effectué un test qui montre que la plateforme ne chiffre pas de bout en bout l’ensemble des données de ses utilisateurs. Elle a donc accès à certaines informations confidentielles, contrairement à ce que l’entreprise prétend. Ce test est assez simple à réaliser. Nous nous sommes connectés via notre ordinateur sur notre compte Doctolib, en renseignant adresse mail et mot de passe. Nous avons alors accès à tous nos rendez-vous médicaux passés et à venir. Puis nous avons utilisé un débogueur pour inspecter le code de la page que nous avons sous les yeux, l’arrière-boutique en quelque sorte. “On voit ainsi les échanges entre Doctolib et votre ordinateur”, explique le développeur Benjamin Sonntag, cofondateur de l’association La Quadrature du Net, qui effectue ce test à nos côtés. “Ce qu’on découvre c’est un document qui s’appelle appointments.json*”, poursuit-il.

En savoir plushttp://franceinter.fr/societe/doctolib-nos-donnees-medicales-ne-sont-pas-entierement-protegees