Doctolib : vos données personnelles ont pu être consultées frauduleusement
Le signal d'alarme a été tiré par Doctolib le 23 juillet, dans un message paru sur Twitter. Le géant de la prise de rendez-vous médical par Internet annonce avoir été victime d'un « acte malveillant » qui a permis à un ou plusieurs tiers d'accéder frauduleusement aux informations administratives d'un certain nombre de patients.
Sur le papier, l'incident paraît modeste au regard de la taille de Doctolib : la plateforme est en effet utilisée par 38 millions de Françaises et de Français, et seuls 6 158 rendez-vous sont évoqués. Mais dans le détail, l'incident n'est pas anodin : il implique des informations personnelles (nom, prénom, sexe, numéro de téléphone et adresse mail du patient), mais aussi des éléments administratifs (date et nom du praticien).
Les mots de passe, en revanche, ne sont pas concernés. Il n'est donc pas nécessaire de le changer.
L'entreprise tient à faire savoir que cet accès illégal ne s'est pas déroulé via son site web ni son logiciel de gestion de cabinet, mais par « des rendez-vous pris sur certains logiciels tiers connectés à Doctolib », sans davantage de précisions. L'intégrité du service n'aurait donc pas été remise en cause directement. Le problème viendrait donc d'un programme spécialisé dont le nom n'a pas été précisé.
Doctolib indique que le problème a été détecté le 21 juillet par ses équipes et réglé dans la foulée. Il ne précise pas depuis quand l'incident existait.
Quid des données médicales ?
Plus embêtant, la spécialité du professionnel de santé concerné par le rendez-vous a aussi été exposée. Certes, « aucune donnée médicale n'est concernée », veut rassurer le service, mais la réalité est plus nuancée : si l'entreprise affirme que ni le motif du rendez-vous ni aucun document médial n'a été mis en péril, pas plus que les dossiers médicaux, la fuite de la spécialité s'avère une indication forte.
Si la consultation d'un généraliste ne permet guère d'inférer l'état de santé d'un patient, la situation est tout autre dans le cas d'un spécialiste, puisque l'intitulé même de la branche indique quelle zone du corps doit être prise en charge (et quels sont les troubles qui y sont associés) : ophtalmologue, dermatologue, psychiatre, gastro-entérologue, gynécologue, proctologue et ainsi de suite.
Dans son guide pratique sur la protection des données personnelles à destination du Conseil national de l'ordre des médecins, la Commission nationale de l'informatique et des libertés (CNIL) écrivait d'ailleurs en 2018 « la simple connaissance d’une consultation d’un spécialiste peut donner une indication sur l’état de santé (ex. consulter un cardiologue régulièrement) ».
Au passage, la CNIL rappelait aux médecins qu'ils sont responsables du traitement des données d’identification des patients et des données de santé collectées lors de la prise de rendez-vous, que celle-ci soit assurée par le cabinet, par un prestataire tiers au téléphone ou bien par une plateforme en ligne. Entre autres choses, ils doivent avertir la CNIL en cas de violation des données.
Sur ce dernier point, Doctolib fait savoir qu'il a d'ores et déjà contacté la CNIL et a déposé plainte dans un commissariat de police.
Quant à la communication auprès des patients, Doctolib s'en remet aux cabinets et aux établissements de santé. Dans une foire aux questions, il est précisé que ce sont eux qui s'en chargent, en tant que responsables du traitement. « Nous sommes en lien avec les cabinets et les établissements concernés, qui sont en train de contacter les patients concernés. », précise la plateforme.
Si ce genre d'affaires tombe toujours mal pour une entreprise, l'incident de Doctolib a un timing particulièrement malheureux. En effet, la plateforme a vu son image écornée par une enquête publiée sur Télérama, soutenue par divers témoignages, qui mettent en cause la gestion des données personnelles de l'entreprise, qu'il s'agisse de la sécurité des données ou de leur hébergement.