La cyberattaque à l’hôpital de Corbeil-Essonnes divulguant des données de santé de plusieurs centaines de patients sur le darknet en octobre 2022 témoigne de l’importance de la protection des données personnelles de sa patientèle pour un médecin.
Dans le cadre de consultations, le médecin de profession est amené à connaître deux types de données à savoir les données personnelles (nom, prénom, adresse, etc) et les données de santé (information sur le physique du patient, motif de consultation, ordonnance, etc), qui sont des données dites sensibles.
Utilisé par plus de cinquante millions de français en 2021, Doctolib est devenu incontournable pour les patients mais également pour les praticiens.
Or ceux-ci, en tant que responsable de traitement de la donnée, doivent veiller au respect du RGPD par la plateforme.
Nous avons analysé le fonctionnement de la plateforme et avons noté que certains points laissés à désirer.
Le règlement général sur la protection des données, plus connu sous le nom de “RGPD”, encourage -mais ne rend pas obligatoire- le chiffrement de bout en bout pour les données personnelles des utilisateurs.
A ce titre, Doctolib a annoncé par communiqué de presse en juin 2020 qu’il utilisait un chiffrement selon lequel, seul le médecin et son patient peuvent avoir accès aux données partagées via la plateforme.
En revanche, plusieurs patients et praticiens ont remarqué que les listes de rendez-vous pris par les patients, elles, ne sont pas chiffrées.
L’entreprise se défend des accusations dont elle fait l’objet en arguant du fait qu’elle contrôle strictement les accès des données à certains de ses employés dans le cadre des fonctions supports.
Le guide pratique de la Commission Nationale Informatique et Libertés (“CNIL”) et de l’Ordre des médecins considère que les données relatives à la prise de rendez-vous sont des données qui doivent être traitées de la même manière que les dossiers médicaux. Cette position ne fait pas l’unanimité puisque le Conseil d’Etat qui a été invité à trancher la question, a pris un positionnement inverse de celui de la CNIL et du conseil de l’Ordre des Médecins.
Sans prendre parti ni pour l’une ni pour l’autre de ces institutions, rappelons juste que ces données se vendent à prix d’or et le vol de plus de 6.000 données relatives aux rendez-vous médicaux sur Doctolib en 2020.
Autre élément qui interroge sur la protection des données par Doctolib : en juillet 2022, Doctolib a mis à jour sa politique de confidentialité en faisant disparaître la charte à destination des patients au profit de 10 engagements.
Plusieurs utilisateurs ont alors remarqué des changements significatifs à savoir :
Outre ses préoccupations, Doctolib interroge également sur le choix de ses prestataires.
Les données chiffrées de la plateforme sont hébergées sur deux services appartenant à Amazon : Web Services et Cloudflare.
La plateforme utilise également l’outil Google Captcha pour lequel le consentement est obligatoire (mais non demandé par le site) et Google Firebase.
Les données patients peuvent donc filtrer vers des sous-traitants de la plateforme. La plateforme conseille, pour se faire, de désactiver les notifications lorsqu’un patient se trouve sur son site.
A l’échelle du médecin, celui-ci doit informer ses patients des risques d’utilisation de la plateforme s’il en est utilisateur.
En raison du développement de l’offre et de la demande, d’aucuns pensent que Doctolib pourrait aller jusqu’à vendre des données de santé anonymisées (ce qui n’est pas illégal à ce jour) ou encore utiliser ces données à des fins publicitaires. La seule limite pour Doctolib est la collecte de données à caractère personnel illicite pour laquelle, une sanction pénale de 5 ans d’emprisonnement et de 300 000 euros peut être prononcée (article 226-18 du code pénal).
Plus que jamais, le médecin est responsable face à ces patients en tant que praticien mais également en tant que responsable des données personnelles puisque lui-même encourt une sanction administrative qui peut aller qu’à 20 millions d’euros ou 4% du chiffre d’affaires en cas de non-respect du RGPD.
Si vous avez des questions à la lecture de cet article, contactez-nous.
Nous sommes sur