Une enquête de Radio France a entraîné une polémique sur la manière dont Doctolib protège les données médicales de sa clientèle. Si l’affaire se concentre sur un point très précis du site, à savoir les rendez-vous médicaux, il illustre néanmoins une communication au minimum imprécise du site.

C’est une nouvelle polémique qui vient d’éclater au visage de Doctolib. Le 20 mai, la cellule investigation de Radio France a publié sur France Info et France Inter une enquête sur l’omniprésente plateforme de prise de rendez-vous médical par Internet — le site revendique plus de 42 millions de Françaises et de Français passant par ses services. En cause ? Des insuffisances dans la protection de certaines données médicales.

« Contrairement à ce que l’entreprise a longtemps affirmé, développe Radio France, nos données personnelles ne sont pas entièrement chiffrées ». Plus spécifiquement, le cœur de l’enquête se focalise sur la question des rendez-vous, dont la gestion diffère manifestement des règles qu’applique Doctolib sur les données personnelles et médicales. Dans ces conditions, poursuit Radio France, Doctolib ne peut guère prétendre tout protéger.

Il est vrai que la communication de Doctolib en la matière a contribué à tendre le bâton pour se faire battre. Dans une page consacrée à la sécurité des données, il est indiqué que « toutes les données de Doctolib sont chiffrées, au repos et en transit », ce qui suggère qu’il n’existe aucune exception. À aucun moment, il est évoqué un traitement différencié pour les rendez-vous.

chiffrement doctolib
Doctolib généralise son propos, en parlant de « toutes les données ». // Source : Capture d’écran

Une affirmation générale sur la sécurité des données

C’est dans cet interstice que s’est engouffré Radio France, et ce n’est pas inexact. De fait, la communication de Doctolib est générale et peut induire en erreur, surtout les internautes qui ne sont pas très au fait de ces subtilités. Ils ont de quoi légitimement tomber des nues en apprenant qu’en fait, certaines portions du service — qui ne sont en outre pas anodines, comme les rendez-vous — ne bénéficient pas du même degré de confidentialité.

Cela soulève des questions périphériques : quand une plateforme déclare se servir du chiffrement de bout en bout pour sécuriser les données de sa clientèle, jusqu’où faut-il aller dans l’interprétation de cet engagement ? Est-ce que cela sous-entend que toutes les données le sont, quelle que soit leur nature, y compris celles qui ne sont ni personnelles ni sensibles ? Est-ce que toutes doivent l’être, d’ailleurs ?

Doctolib a annoncé l’adoption du chiffrement de bout en bout le 19 juin 2020, « une étape supplémentaire pour sécuriser les données personnelles de santé de ses utilisateurs » disait le site. Avec cette évolution, il devient « rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance ». Seuls les patients et le corps médical voient les données.

Dès lors, l’exclusion manifeste d’éléments du chiffrement de bout en bout — la prise de rendez-vous — constitue-t-elle une promesse rompue ? C’est à cette conclusion que parvient Radio France : si Doctolib assène que cette protection est partout, mais qu’il a en fait accès à des informations périphériques, alors il y a des points de fragilité, ne serait-ce que dans le discours. C’est ce qu’entend montrer Radio France, en tout cas.

Un traitement différencié sur les RDV, défendu par Doctolib

L’affaire est évidemment passée devant les yeux de Doctolib, qui s’est fendu d’un fil sur Twitter pour rejeter les allégations de l’enquête, ainsi qu’une page dédiée sur son site web. C’est dans ces deux publications, mais aussi dans une réponse adressée par mail à plusieurs médias, dont Numerama, que le site a précisé que le chiffrement de bout en bout ne s’applique pas à la gestion des prises en charge, pour des raisons à la fois techniques et de service.

« Nous n’utilisons pas [la technologie de chiffrement de bout en bout] pour les rendez-vous pour une raison simple : garantir le bon fonctionnement de nos services (ex : permettre l’envoi de SMS pour le rappel de rendez-vous) », défend le service, en soulignant d’ailleurs qu’aucun autre service dans le monde ne le fait, à sa connaissance. En clair, Doctolib se dit en pointe sur la sécurité et la confidentialité, même si ce n’est pas parfait.

Il est à noter que la question du chiffrement de bout en bout ne doit pas occulter le fait que d’autres méthodes de chiffrement sont employées, en transit (c’est-à-dire en circulation entre le serveur et l’internaute — le fameux HTTPS pour éviter une circulation « en clair ») et au repos (sur le serveur, pour éviter les risques en cas d’accès frauduleux aux bases de données).

Interrogé en amont par Radio France, Doctolib avait justifié ce traitement différencié par le risque d’occasionner un « impact majeur » sur sa communauté, avec le risque de devoir se passer de certaines fonctionnalités, comme les avertissements par SMS.

Cette problématique de l’équilibre entre une sécurité la plus haute possible et un écosystème riche s’était retrouvée dans certaines applications mobiles, comme Google Allo et Telegram, qui préfèrent ne pas proposer le chiffrement de bout en bout par défaut, pour justement mettre en avant certains services que l’on peut juger par ailleurs très pratiques et indispensables — le chiffrement de bout en bout est certes disponible, mais il faut aller l’activer au cas par cas.

Doctolib-Illus
Il faut parfois arbitrer entre des besoins contradictoires. Faut-il tout chiffrer au risque de se priver de certains services utiles aux personnes ? // Source : Doctolib

De fait, Doctolib illustre avec le cas de la gestion de l’agenda médical le problème de l’arbitrage en des besoins contradictoires : en l’état, Doctolib suggère qu’il ne peut pas fournir de service cohérent et pratique (des notifications au support) si tout est chiffré et hors de vue de Doctolib. Cela ne veut pas dire qu’il faut ouvrir les données de santé aux quatre vents, mais cela montre les contraintes qu’il peut exister entre des nécessités concurrentes.

Bien que le propos de Doctolib aurait gagné à être plus clair d’emblée, la démonstration de Radio France comporte toutefois des faiblesses. Ainsi, que des données en clair s’affichent en ouvrant la console de Google Chrome n’est pas une situation absurde. Si elles étaient chiffrées, le navigateur ne pourrait pas les interpréter et, donc, les afficher à l’écran. Comme tout le reste, d’ailleurs. Concernant le chiffrement en bout en bout, il faut bien qu’aux extrémités, justement, le chiffrement parte.

Par ailleurs, la question du chiffrement de bout en bout ne doit pas oblitérer une autre réalité : l’entreprise doit quand même suivre en interne des règles strictes en matière d’accès aux données (au sens large, pas seulement aux données qui sont personnelles), avec une journalisation de manière à savoir qui fait quoi, à accès à quoi, quand, où et comment. Autrement dit, le RGPD et toute la législation restent d’actualité, chiffrement ou pas chiffrement, sous peine de sanction lourde.

Un rendez-vous médical, une donnée de santé ?

En somme, derrière la question du chiffrement sur Doctolib résident d’autres enjeux : qu’est-ce qui relève d’une donnée de santé ? Est-ce qu’un rendez-vous « non chiffré » avec un proctologue, un oncologue ou un sexologue permet d’inférer la situation médicale du patient ? Est-ce qu’il faut étendre cette protection, au risque de perdre des fonctionnalités « riches » (comme l’envoi de SMS en l’occurrence) qu’on ne pourrait pas avoir avec le chiffrement ?

La plateforme admet que l’agenda médical du patient peut véhiculer des éléments sensibles, justement. « La date et l’heure de votre rendez-vous sont les seules informations personnelles figurant dans les messages envoyés par Doctolib », lit-on par exemple sur une autre page sur les données personnelles. En outre, d’autres informations (motif de consultation, document partagé, etc.) étant des données de santé, elles ne sont pas visibles par le service.

La possibilité d’induire la condition médicale d’un patient selon ses RDV n’est pas sans rappeler tout le débat sur les métadonnées. Celles-ci couvrent toutes les informations techniques autour d’une communication (par exemple, dans le cas d’un appel téléphonique : date et heure du coup de fil, numéros de l’appelant et de l’appelé, durée de l’échange, etc.). Même si elles ne disent rien du contenu d’une conversation, on peut en supposer la teneur.

L’Electronic Frontier Foundation, une puissante organisation américaine dédiée à la défense des libertés individuelles dans l’espace numérique, avait illustré le sujet avec quelques exemples : ainsi, de quoi peut bien parler quelqu’un qui a appelé un service de téléphone rose à 2h24 du matin pendant 18 minutes ? Quel a été le sujet de conversation d’une femme qui a appelé à quelques minutes d’intervalle son petit copain, sa mère, le docteur et le planning familial ?

effmetadonnees.jpg
Les métadonnées sont importantes. // Source : EFF

Est-ce qu’un rendez-vous avec un médecin est une donnée de santé ? À ce sujet, la Commission nationale de l’informatique et des libertés (Cnil) répond par l’affirmative, avec une nuance : « l’information sur la prise en charge dans une structure de soins contenue dans un traitement constitue une donnée de santé, dès lors qu’elle donne une indication sur l’état de santé (ex : admission dans un établissement ou service hospitalier spécialisé). »

Sur un plan juridique, le Conseil d’État a été amené à se pencher sur le sujet, lors de la campagne de vaccination contre le covid-19. Le 12 mars 2021, la plus haute juridiction administrative française a estimé que « les données recueillies dans le cadre des RDV de vaccination ne comprennent pas d’indications sur les motifs médicaux d’éligibilité à la vaccination », ce qui les écarte de la catégorie de santé. Mais cela ne porte que les RDV de vaccination.

En l’espèce, il apparait que la prise de rendez-vous chez un médecin spécialiste est une donnée de santé. Une donnée de santé est une catégorie particulière parmi les données personnelles, car elle est sensible. Elle fait l’objet de dispositions spécifiques et la règle, qui comporte toutefois des exceptions, est l’interdiction de traitement. On trouve la politique, la religion, la philosophie, la sexualité, l’ethnie, le casier judiciaire, la biométrie, la génétique, le syndicalisme.

L’information sur la prise en charge dans une structure de soins […] constitue une donnée de santé, si l’état de santé est indiqué

La Cnil

Certains traitements peuvent être permis, avec l’accord de l’intéressé. En l’espèce, on suppose qu’une personne s’inscrivant à Doctolib, compte tenu de sa nature et de son but, accepte le traitement de ses données médicales, sinon cela n’a aucun sens. Le prestataire doit alors suivre les règles durcies pour éviter des dérives et assurer leur protection et leur confidentialité. Le chiffrement de bout en bout est un levier possible, mais pas le seul ni l’unique horizon.

Une tempête dans un verre d’eau, alors ? C’est en filigrane ce qui transparait de la réaction de Doctolib, qui fait par ailleurs face à d’autres critiques — sur la bonne sécurisation face aux intrusions externes, ses pratiques en matière de facturation ou son recours à entreprise américaine pour héberger ses données (même si les serveurs sont physiquement localisés en Europe, c’est un sujet de tension sur la question de la souveraineté numérique).

Mais si le chiffrement de bout en bout n’est pas actif sur la prise de rendez-vous et sur certaines informations y figurant, sans doute Doctolib se serait-il épargné des soucis en l’indiquant clairement dès le début, au lieu de dire, dans sa communication, que les données personnelles de santé étaient désormais toutes chiffrées. Que les autres plateformes dans le monde ne fassent pas mieux n’est pas un argument pour s’exonérer d’un propos sans ambiguïté.