Après avoir été accusé de transférer des données sensibles à Facebook et Outbrain, Doctolib souhaite faire preuve d'exemplarité. La plateforme européenne, leader dans le domaine de la e-santé, vient d'obtenir la certification ISO 27001, démontrant ainsi son engagement en matière de sécurité de l’information.

L'obtention de la certification ISO 27001 peut-elle suffire à se racheter une exemplarité ?

Dans un communiqué de presse publié le 17 novembre 2021, Doctolib revient sur l'obtention de cette certification ISO 27001, délivrée par BSI Group, un organisme habilité et reconnu en France et à l’international. Comme l'explique le porte-parole de Doctolib : « la certification ISO 27001 est la norme de référence internationale en matière de mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Elle permet de garantir que les processus instaurés au sein de Doctolib sont conformes aux enjeux actuels dans ce domaine ».

Voilà un gage de sécurité supplémentaire pour les utilisateurs de la plateforme, à l'heure où les données de santé valent de l'or sur le web. L'obtention de cette certification fait suite aux accusations portées par le média allemand Mobilsicher, en juin 2021. Une enquête a démontré que Doctolib aurait envoyé les mots-clés tapés par les utilisateurs dans le moteur de recherche de la plateforme à Facebook et Outbrain, pendant plusieurs mois.

Si un internaute allemand tapait dans sa barre de recherche les termes « allergies » ou bien « cancer du sein », les requêtes étaient envoyées à l'identique aux deux partenaires de Doctolib... Depuis la découverte de ce partage de données, la plateforme médicale a stoppé cette pratique.

Doctolib cherche un moyen de regagner la confiance de ses utilisateurs

Après ce bad buzz, Doctolib cherche à regagner la confiance de ses utilisateurs. L'entreprise précise dans son communiqué que : « la confidentialité des données de ses utilisateurs est un principe fondamental. Les audits réguliers, les certifications reçues et les investissements réalisés par l'entreprise depuis sa création en 2013 en sont la meilleure preuve ». Doctolib affirme que les données de ses utilisateurs sont confidentielles et que seuls leurs praticiens peuvent y accéder.

Enfin, pour marquer le coup, la plateforme rappelle (ou se sent obligée de rappeler) que « le modèle économique de Doctolib ne repose pas sur l'utilisation des données personnelles ». Doctolib explique qu'elle ne vend pas et qu'elle ne transmet pas les données de ses utilisateurs à des prestataires commerciaux. Selon le leader européen « notre modèle économique repose uniquement sur un abonnement payé par les professionnels de santé et les établissements de santé, ce qui leur permet d'utiliser les solutions développées par l'entreprise ».