Doctolib, la plateforme de prise de rendez-vous médicaux utilisée par plus de 50 millions de Français, fait face à une critique récurrente : on lui reproche d'héberger ses données chez un Américain, Amazon Web Service (AWS). En cause : deux lois, le Cloud Act et le Foreign Intelligence Surveillance Act, qui permettent en théorie aux autorités américaines d'accéder, sous conditions, aux données d'AWS. Mais la startup française estime avoir mis en place les protections suffisantes pour contrer cette menace. Explications.Les données de santé de plus de 40 millions de Français sont-elles en sécurité chez Doctolib ? Le 25 mai, la plateforme de prise de rendez-vous médicaux, fleuron de la French Tech était l'invitée d'un autre Français, Atos, devant une poignée de journalistes. L'objectif de la réunion : présenter l'implémentation des outils de chiffrement -un aspect essentiel de la cybersécurité- d'Atos chez Doctolib. Hasard du calendrier, quelques jours avant cette présentation, un article de la cellule investigation de Franceinfo pointait une incohérence dans la communication de la startup sur... le chiffrement.
Si ce dernier point n'avait pas de quoi remettre en cause la sécurité globale des données de Doctolib, l'article a eu pour effet de relancer une critique récurrente faite à la plateforme : l'hébergement de ses données chez l'Américain Amazon Web Services (AWS). Derrière ce reproche se trouvent les spectres du Cloud Act et du Foreign Intelligence Surveillance Act (Fisa), deux lois américaines qui permettent aux autorités du pays de l'Oncle Sam de se saisir des données stockées par n'importe quelle entreprise domestique, dont Amazon, sous condition de mandat. Et ce, même si ces données appartiennent à une entreprise française.
En réponse à ce reproche, Doctolib répète depuis toujours que AWS propose les services logiciels qui correspondent le mieux à son activité. Et à l'occasion de la réunion à laquelle La Tribune a assistée, la startup est entrée dans le détail des protections mises en place face à d'éventuelles dérives de la législation américaine.
- Lire aussi:Nos données de santé sont-elles vraiment mal protégées chez Doctolib ?
Le cloud Amazon, un choix d'efficacité d'après Doctolib
A ses débuts, en 2013, Doctolib opérait lui-même son "hardware", c'est-à-dire les serveurs sur lesquels sont stockées les données. Mais victime de son succès et de ses besoins en capacité de calcul supplémentaire, la startup n'a rapidement plus eu les moyens pour augmenter elle-même son nombre de serveurs. Elle a donc décidé de déporter son infrastructure informatique vers un modèle "à 99,99% cloud". Autrement dit, à l'exception d'une poignée de serveurs gardés en interne, toutes les données de l'entreprise sont stockées dans les data centers de Amazon Web Services, à Paris et à Francfort.
