Nos données de santé sont-elles vraiment mal protégées chez Doctolib ?

François Manens

Publié le 21 mai 2022 à 10:09 - Mis à jour le 21 mai 2022 à 10:22

Ce contenu est réservé aux abonnés La Tribune

Ajouter La Tribune à vos sources préférées

Doctolib est confronté à une nouvelle polémique : l'une de ses mesures de protection des données, le chiffrement de bout en bout, n'est pas appliquée aux listes de rendez-vous pris par les patients, comme l'a relevé Franceinfo. Si cette exception, assumée par startup française peut être légitimement discutée, elle ne suffit pas à remettre en cause la politique globale de protection des données de Doctolib.

Petit tourbillon vendredi 20 mai autour de la star de la French Tech Doctolib. Un article de France Info, labellisé "enquête", pointe du doigt un écueil de l'entreprise, à mi-chemin entre des questions de sécurité et de communication.

On y apprend qu'un standard de sécurité déployé par Doctolib mi-2020, le chiffrement de bout en bout, n'est volontairement pas appliqué à la liste des rendez-vous pris par les patients. En conséquence, ces données pourraient être consultées par des employés de la startup. Mais Doctolib affirme qu'il contrôle de façon stricte les conditions de ces accès.

Visiblement inquiétée par les conséquences d'une mésinterprétation de l'article sur sa réputation, l'entreprise, par ailleurs abondamment citée par France Info, s'est fendue d'une suite de messages sur Twitter. Elle rappelle notamment que même en dehors de la question technique du chiffrement de bout en bout, "toutes les données de [ses] utilisateurs sont protégées. Elles sont toutes chiffrées au repos et en transit."

Équilibre difficile entre sécurité et fonctionnalités

Cette affaire expose un bon exemple des difficultés que les entreprises de logiciels peuvent avoir pour placer le curseur de la cybersécurité et pour communiquer sur le sujet. Dans un monde où le risque zéro n'existe pas, il y aura toujours des scénarios dans lesquels les données des utilisateurs de Doctolib seront exposées.

À lire également

L'entreprise doit donc agir de sorte à ce que ces scénarios soient les moins nombreux et les plus complexes possibles. Plusieurs textes, comme la Loi informatique et libertés (LIL) et le règlement général sur la protection des données (RGPD) encadrent les mesures à appliquer. Ensuite, charge à Doctolib de trouver un équilibre convenable dans la tension entre sécurité et fonctionnalités : si son service perd en efficacité ou en rapidité à cause de protections trop lourdes ou complexes, l'entreprise perdra des clients. Mais si elle ne les protège pas suffisamment, elle les perdra également, en plus d'éventuelles sanctions du régulateur.

Newsletter