Nos données de santé sont-elles vraiment mal protégées chez Doctolib ?

Doctolib est confronté à une nouvelle polémique : l'une de ses mesures de protection des données, le chiffrement de bout en bout, n'est pas appliquée aux listes de rendez-vous pris par les patients, comme l'a relevé Franceinfo. Si cette exception, assumée par startup française peut être légitimement discutée, elle ne suffit pas à remettre en cause la politique globale de protection des données de Doctolib.
François Manens

Petit tourbillon vendredi 20 mai autour de la star de la French Tech Doctolib. Un article de France Info, labellisé "enquête", pointe du doigt un écueil de l'entreprise, à mi-chemin entre des questions de sécurité et de communication.

On y apprend qu'un standard de sécurité déployé par Doctolib mi-2020, le chiffrement de bout en bout, n'est volontairement pas appliqué à la liste des rendez-vous pris par les patients. En conséquence, ces données pourraient être consultées par des employés de la startup. Mais Doctolib affirme qu'il contrôle de façon stricte les conditions de ces accès.

Visiblement inquiétée par les conséquences d'une mésinterprétation de l'article sur sa réputation, l'entreprise, par ailleurs abondamment citée par France Info, s'est fendue d'une suite de messages sur Twitter. Elle rappelle notamment que même en dehors de la question technique du chiffrement de bout en bout, "toutes les données de [ses] utilisateurs sont protégées. Elles sont toutes chiffrées au repos et en transit."

Équilibre difficile entre sécurité et fonctionnalités

Cette affaire expose un bon exemple des difficultés que les entreprises de logiciels peuvent avoir pour placer le curseur de la cybersécurité et pour communiquer sur le sujet. Dans un monde où le risque zéro n'existe pas, il y aura toujours des scénarios dans lesquels les données des utilisateurs de Doctolib seront exposées.

L'entreprise doit donc agir de sorte à ce que ces scénarios soient les moins nombreux et les plus complexes possibles. Plusieurs textes, comme la Loi informatique et libertés (LIL) et le règlement général sur la protection des données (RGPD) encadrent les mesures à appliquer. Ensuite, charge à Doctolib de trouver un équilibre convenable dans la tension entre sécurité et fonctionnalités : si son service perd en efficacité ou en rapidité à cause de protections trop lourdes ou complexes, l'entreprise perdra des clients. Mais si elle ne les protège pas suffisamment, elle les perdra également, en plus d'éventuelles sanctions du régulateur.

Dans le cas cité par France Info, Doctolib assume de ne pas étendre le chiffrement de bout en bout aux prises de rendez-vous : "notre code doit pouvoir avoir accès à certaines informations liées aux rendez-vous pour garantir l'utilité et le bon fonctionnement du service. Concrètement, si les données de rendez-vous étaient chiffrées de bout en bout, le service de rappel de rendez-vous par SMS ou e-mail ne pourrait pas exister aujourd'hui."

Thomas Fauré, CEO de la plateforme française Whaller, abonde sur ce point dans un message de soutien à ses confrères : "Si ces données étaient chiffrées de bout en bout, elles ne pourraient pas être envoyées par email ou sms sous forme de rappel. Et Doctolib serait probablement un échec cuisant."

Une communication trompeuse plus qu'un danger de sécurité

La décision de la startup de ne pas appliquer le chiffrement de bout en bout à toutes les données se justifie donc d'un point de vue business, mais elle n'en restait pas moins méconnue jusqu'à aujourd'hui.

En 2020, Doctolib avait annoncé "la mise en œuvre du chiffrement de bout en bout pour les données personnelles de santé de ses utilisateurs". Utilisé par WhatsApp ou encore Signal pour protéger les messages, le chiffrement de bout en bout consiste à rendre illisible le contenu lors de son transit entre les deux bouts de la conversation. Grossièrement, l'expéditeur du message va modifier son contenu à l'aide d'une clé de chiffrement unique, et seuls les appareils disposant d'une copie de cette clé pourront le déchiffrer.

Dans le cas de Doctolib, seul le patient et le médecin concerné disposent de la clé. "Cette technologie rend rigoureusement impossible à toute autre personne d'accéder à ces données, y compris dans les opérations d'assistance ou de maintenance", précisait la startup dans son communiqué. Comme le souligne France Info, cette promesse est bien respectée pour les pièces jointes échangées entre un patient et son médecin (compte-rendu d'analyses, radios, scanners, ordonnances...) ainsi que dans les flux de téléconsultations.

Le problème, c'est que la promesse n'est pas respectée pour les listes de rendez-vous, qui entrent aussi dans la définition des données de santé inscrite dans le RGPD. Le gendarme français des données, la Cnil, rappelle sur son site que cette définition large prend en compte "les données à caractère personnel concernant la prestation de services de soins de santé" et il précise qu'elle "permet d'englober certaines données à partir desquelles il est possible de déduire une information sur l'état de santé de la personne". Si la liste rattachée à un patient affiche des rendez-vous répétés chez un neurologue ou chez un oncologue, elle permet en effet de déduire (au moins de façon vague) des informations sur l'état de santé du patient.

Ainsi, on peut reprocher à Doctolib un manque de clarté dans sa communication : soit il n'aurait pas dû indiquer que le chiffrement de bout en bout concernait toutes les données de santé, soit il n'a pas pris en compte que les listes de rendez-vous sont aussi des données de santé.

Est-ce un problème de ne pas avoir de chiffrement de bout en bout ?

Pour autant, même sans le chiffrement de bout en bout, les mesures de sécurité déployées par l'entreprise correspondent aux prérequis légaux, et pourraient être jugées comme suffisantes.

"En quoi un système qui ne chiffre pas de bout en bout ses données est un système qui ne serait pas sécurisé ?" s'interroge Thomas Fauré. Et pour cause : Doctolib continue de protéger les flux de données contre d'éventuels interceptions par le protocole TLS (standard dans les échanges sur internet). Puis, dans un second temps, il applique un chiffrement aux bases de données, qui protègera le contenu en cas de fuite, ou d'intrusion par des hackers. Mais contrairement au chiffrement de bout en bout, ce système a pour défaut de s'appuyer sur une plus grande confiance dans l'entreprise. Puisqu'elle gère elle-même le chiffrement des bases de données (en stockant elle-même les clés), elle garde la capacité d'en déchiffrer le contenu.

C'est ici que l'affaire se complique et qu'entrent des raisonnements plus subjectifs, qui vont dépendre la vision propre à chacun de la cybersécurité.

Pour Benjamin Sonntag, figure bien connue de la tech française qui a aidé France Info dans son enquête, les protections déployées par Doctolib ne sont pas suffisantes. Co-fondateur de la Quadrature du Net, une association très active sur le sujet de la vie privée, il est aussi fondateur de l'hébergeur français Octopuce, deux éléments qui influencent sa position, partagée par tout un pan de la tech française.

S'il ne s'inquiète pas spécialement d'éventuels accès aux données par des employés de Doctolib (à condition qu'ils soient correctement encadrés), il met en garde contre l'exposition des données au Cloud Act américain.

Hébergeur en ligne de mire

Ce texte controversé permet en théorie à la justice américaine de récolter les données personnelles sur toute machine opérée par une société américaine. Or, Doctolib utilise des serveurs Amazon Web Services pour héberger ses données. "Ces données [les listes de rendez-vous, ndlr] arrivent en clair sur un serveur chez AWS (Amazon, US) (...) Même si ces données sont chiffrées dans la base, elles le seraient avec une clé présente sur d'autres serveurs AWS. Accéder à ces données pour AWS est donc trivial", écrit Benjamin Sonntag.

L'utilisation des services de l'hébergeur américain revient régulièrement dans les critiques comme Doctolib. Mais sur LinkedIn, Nicolas Martignole, ingénieur en chef chez la startup rappelle que la plateforme a "basculé sur AWS entre 2019 et 2020 après avoir tourné chez différents hébergeurs afin de suivre l'hypercroissance et la demande".

Il justifie donc le choix de l'Américain par le volume de visites et de requêtes que doit encaisser la plateforme, avec plusieurs exemples à l'appui. "Nous sommes bien évidemment attentifs et nous discutons avec les solutions des différents éditeurs. Mais pour l'instant, en 2022, ce qui fonctionne pour Doctolib, c'est Amazon Aurora", conclut-il.

Tant que la situation de l'hébergement des données restera ainsi, Doctolib continuera de recevoir des critiques sur son modèle de cybersécurité, de la part des défenseurs de la vie privée les plus virulents.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 11
à écrit le 21/05/2022 à 13:53
Signaler
Opposé vous à l'ouverture de votre carnet de santé informatisé que le gouvernement tente de mettre en place.

le 21/05/2022 à 18:53
Signaler
opposez vous avec un "z" !!!

le 21/05/2022 à 18:54
Signaler
Tout a fait d'accord. Pour réduire les risques en informatique il convient de compartimenter les domaines. Le dossier médical partagé est bon pour faciliter l'usage des lobbys des appels téléphoniques ciblés et des hackers. Rien n'empêche d'ailleurs ...

le 22/05/2022 à 12:53
Signaler
Le "nouveau" système reprend les données du DPE, rien à faire, c'est totomatique, transfert direct. Le DPE c'était extérieur, le nouveau système est hébergé en France, me semble. "Opposés, vous devez être" ça irait, sinon c'est "opposez vous". Une ...

à écrit le 21/05/2022 à 13:51
Signaler
Opposé vous à l'ouverture de votre carnet de santé informatisé que le gouvernement tente de mettre en place.

à écrit le 21/05/2022 à 11:41
Signaler
Il faudrait un intranet en ce qui concerne toutes nos données sensibles le reste c'est du pipeau.

le 21/05/2022 à 17:21
Signaler
On voit qu'on a affaire a un pro de l' IT !! :-)))) Un site en Intranet peut être moins sécurisé qu'un site sur Internet pour l'accès aux données. Tout dépend du paramétrage des règles d'accès et de l'authentification. Si on fait seulement un Int...

le 21/05/2022 à 20:12
Signaler
Faux avec un intranet on saurait plus facilement qui pirate les données, avec un internet aussi protégé que vous le voulez on ne le saura jamais. C'est un choix, soit on fait le taf en surveillant régulièrement nos données via un intranet soit on le ...

le 22/05/2022 à 12:57
Signaler
Il faudrait créer un réseau privé reliant tous les médecins, les hôpitaux, les particuliers sur un ordi à part de celui servant à internet (comme dans le fort que j'ai visité en journées portes ouvertes du patrimoine, un terminal réseau militaire un ...

le 23/05/2022 à 8:18
Signaler
Non il faut créer un réseau entre français pour l'utilisation des données des français, je sais pas moi mais ça à l'air simple clair et logique ce que j'écris non ? Vous vieillissez les gars j'ai bien peur que les fils commencent à se toucher là... -...

à écrit le 21/05/2022 à 10:56
Signaler
... d ' apres les expert$$$ , ca sent la pub pour Doktolib via Franceinfo pour Twitter !!! . ... Une pyramide financiere @ corsicafree ! ( ? ) . AFF ISS pe Corsica * .

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.