Cet article date de plus de deux ans.

Enquête Doctolib : certaines données médicales ne sont pas entièrement protégées

Doctolib a longtemps affirmé que toutes nos données de santé étaient chiffrées de bout en bout et accessibles uniquement au patient et son médecin. L’enquête de la cellule investigation de Radio France montre que ce n’est pas le cas.

Article rédigé par Géraldine Hallot
Radio France
Publié Mis à jour
Temps de lecture : 8min
Une employée de Doctolib, le 3 avril 2019. Certains employés de l'entreprise ont accès à nos données personnelles. (AURELIEN MORISSARD / MAXPPP)

"Après un travail de deux ans mené avec Tanker, entreprise technologique française de pointe spécialisée dans la sécurisation des données (…), Doctolib annonce aujourd'hui la mise en œuvre du chiffrement de bout en bout pour les données personnelles de santé de ses utilisateurs." En juin 2020, juste après le premier confinement, Doctolib publiait un communiqué de presse pour annoncer la mise en œuvre du chiffrement de bout en bout (end-to-end encryption en anglais) des données médicales de ses utilisateurs. Ce qui signifie, en théorie, que seuls les patients et leurs médecins peuvent y avoir accès. Le communiqué de Doctolib précisait également : "Cette technologie rend rigoureusement impossible à toute autre personne d'accéder à ces données, y compris dans les opérations d'assistance ou de maintenance."

Deux ans plus tard, alors que Doctolib a joué un rôle central dans la vaccination des Français contre la Covid-19, la cellule investigation de Radio France a effectué un test qui montre que la plateforme ne chiffre pas de bout en bout l'ensemble des données de ses utilisateurs. Elle a donc accès à certaines informations confidentielles, contrairement à ce que l'entreprise prétend. Ce test est assez simple à réaliser. Nous nous sommes connectés via notre ordinateur sur notre compte Doctolib, en renseignant adresse mail et mot de passe. Nous avons alors accès à tous nos rendez-vous médicaux passés et à venir. Puis nous avons utilisé un débogueur pour inspecter le code de la page que nous avons sous les yeux, l'arrière-boutique en quelque sorte. "On voit ainsi les échanges entre Doctolib et votre ordinateur", explique le développeur Benjamin Sonntag, cofondateur de l'association La Quadrature du Net, qui effectue ce test à nos côtés. "Ce qu'on découvre c'est un document qui s'appelle appointments.json*", poursuit-il.

Capture d'écran montrant le stockage d'informations relatives aux rendez-vous pris sur Dotolib. (CELLULE INVESTIGATION DE RADIOFRANCE)

En cliquant sur le lien en bleu nous arrivons à une arborescence qui donne accès à tous nos rendez-vous médicaux à venir. Les rendez-vous passés sont accessibles de la même manière.

Capture d’écran de l’arborescence montrant les rendez-vous confirmés sur Doctolib. (CELLULE INVESTIGATION DE RADIO FRANCE)

Et en cliquant sur 0, 1, 2, 3, 4, nous voyons les détails de nos prochains rendez-vous : nom et prénom du patient, date et heure du rendez-vous, nom et spécialité du médecin et même le motif de la consultation.

Captures d'écran montrant les informations en clair et donc visibles par Doctolib. (CELLULE INVESTIGATION DE RADIO FRANCE)

Des données de santé visibles par des salariés

"On a reçu de Doctolib les données en clair sur vos prochains rendez-vous. On ne les a pas reçues chiffrées, explique Benjamin Sonntag. Donc cela veut dire que Doctolib lui-même a ces informations en clair." Or ces rendez-vous médicaux sont signifiants et renseignent sur l'état de santé d'une personne. "Si vous allez régulièrement chez un oncologue ou chez un psychologue, cela raconte quelque chose sur votre état de santé", poursuit Benjamin Sonntag.

Un élément rassurant, ces données sont chiffrées quand elles sont en transit, c'est-à-dire quand elles circulent entre Doctolib et notre navigateur internet. Personne ne peut les intercepter en cours de route. Mais chez Doctolib, des salariés ont bien accès aux détails de nos rendez-vous médicaux. "Typiquement ce sont les responsables des sauvegardes, les administrateurs système, ceux qui gèrent le réseau et les serveurs qui peuvent avoir accès à ces informations", explique Benjamin Sonntag. Interrogé, Doctolib reconnaît effectivement dans un mail détaillé que "les données de rendez-vous ne sont pas chiffrées de bout-en-bout (...) Cette technologie de pointe, encore peu répandue (...) ne peut s'appliquer à l'ensemble des données traitées sans impact majeur pour les utilisateurs", poursuit l'entreprise.

Des données qui se monnayent à prix d'or

Quel serait cet impact ? "Notre code doit pouvoir avoir accès à certaines informations liées aux rendez-vous pour garantir l'utilité et le bon fonctionnement du service, répond Doctolib dans son mail. Concrètement, si les données de rendez-vous étaient chiffrées de bout en bout, le service de rappel de rendez-vous par SMS ou e-mail ne pourrait pas exister aujourd'hui." Selon Doctolib, "un nombre très restreint de salariés a accès aux rendez-vous médicaux, à des moments précis et pour des raisons précises, dans le cadre des fonctions supports". C'est-à-dire quand un médecin ou un patient rencontre un bug sur le site ou l'application.

Doctolib précise aussi que les pièces jointes échangées entre un patient et son médecin (compte-rendu d'analyses, radios, scanners, ordonnances...) et les flux de téléconsultations sont eux chiffrés de bout en bout. Aucun tiers n'y a accès. Le test que nous avons réalisé avec Benjamin Sonntag le confirme. "Les rendez-vous médicaux sont des données personnelles de santé au même titre que les pièces jointes échangées**", estime pourtant Alexandra Iteanu, avocate au barreau de Paris, spécialiste en protection des données. "Ils devraient être protégés de la même manière."

Pour autant Doctolib n'enfreint pas la loi en ne chiffrant pas de bout en bout l'ensemble des données médicales qu'il a en sa possession. "Le RGPD [règlement général sur la protection des données] ne rend pas obligatoire le chiffrement de bout en bout. Il l'encourage simplement en disant qu'il faut mettre en place toutes mesures techniques et organisationnelles pour protéger ces données", précise l'avocate. Reste que Doctolib fait preuve de "manque de transparence", estime Alexandra Iteanu car il communique sur un chiffrement de bout en bout qui n'est "pas mis en place en pratique". En tous cas pas totalement.

Le risque pour l'utilisateur n'est pas que théorique. "Les failles de sécurité viennent souvent de l'intérieur des entreprises", explique Alexandra Iteanu. "On n'est pas à l'abri qu'un salarié de Doctolib mal intentionné détourne ces données de manière malveillante ou les transmette à un tiers, avance l'avocate. Un tiers qui pourrait être un assureur ou votre employeur. Mais ces données pourraient être aussi revendues sur Internet". Or les données de santé se monnayent à prix d'or sur le dark web. Les intrusions extérieures sont également possibles, comme on l'a vu en juillet 2020. Les informations concernant 6 128 rendez-vous avaient été consultées illégalement par des pirates malveillants. Doctolib avait porté plainte.

L'entreprise a longtemps été ambiguë sur son chiffrement des données médicales. Dans un document interne (en anglais) datant de septembre 2019 que nous nous sommes procurés, il est écrit : "Ce n'est pas à strictement parler du chiffrement de bout en bout mais cela peut l'être en termes de communication."

Document interne à Doctolib : "Ce n'est pas du chiffrement de bout en bout à proprement parler mais il peut l'être en termes de communication", 2019. (CELLULE INVESTIGATION DE RADIO FRANCE)

Interrogé sur ce document, Doctolib affirme : "Nous avons toujours été clair et transparent en matière de chiffrement."

*JSON (JavaScript Objet Notation) est un langage léger d'échange de données textuelles entre un serveur et un navigateur web. Pour les ordinateurs, ce format se génère et s'analyse facilement (source Journal du Net).

**Dans une décision en date du 12 mars 2021, le Conseil d’État a jugé que les rendez-vous pris sur Doctolib pour se faire vacciner contre la Covid-19 n’étaient pas des données de santé. Mais cette décision concernait uniquement les rendez-vous de vaccination et non l’ensemble des rendez-vous médicaux pris sur Doctolib.

Aller plus loin :

>> Doctolib : success story ou danger pour le monde de la santé ?
>> Comment Doctolib se sert de nos données de santé
>> Télé-consultation : un géant français en première ligne

Commentaires

Connectez-vous à votre compte franceinfo pour participer à la conversation.