Avec l'appui de de Benjamin Sonntag, co-fondateur de l’association La Quadrature du Net, Radio France a mené une vaste enquête pour tenter de comprendre si Doctolib respectait sa promesse de « chiffrer les données de santé de bout en bout » de ses utilisateurs. Les résultats des tests ont été publiés le 20 mai 2022. Ils montrent que le chiffrement des données n’est pas total.

Le chiffrement de « bout en bout » n'est toujours pas une réalité sur Doctolib

Après avoir échangé des données avec Facebook et Outbrain en Allemagne, notamment les mots-clés tapés par les utilisateurs dans le moteur de recherche de la plateforme, Doctolib a assuré que les données personnelles de ses utilisateurs étaient désormais « chiffrées de bout en bout ». La startup française a même obtenu il y a quelques mois une certification qui atteste de la sécurisation des données de santé des utilisateurs. Pourtant, une récente enquête de Radio France réalisée avec la Quadrature du Net montre que le chiffrement des données n’est pas total.

Dans un communiqué de presse publié récemment, Doctolib garantissait pourtant que « cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance ». Ce n'est pas ce que montrent les tests réalisés par la radio publique. Les enquêteurs ont constaté que des informations concernant les rendez-vous médicaux passés et à venir de l’utilisateur étaient toujours accessibles « en clair », de manière non chiffrée. Ce n'est pas tout, certains salariés de Doctolib ont accès aux données de santé des utilisateurs du service.

Un salarié mal intentionné pourrait détourner les données

Radio France précise que c'est notamment le cas des responsables des sauvegardes, des administrateurs système, et toutes les autres personnes qui gèrent le réseau et les serveurs. Parmi les informations accessibles, on retrouve les noms et prénoms du patient, la date du rendez-vous, le nom et la spécialité du médecin consulté et même le motif de la consultation. La cellule d'investigation précise néanmoins que les pièces jointes échangées entre le patient et son médecin sont, elles, bien protégées.

Doctolib a reconnu la faille en précisant qu'un nombre « très restreint de salariés a accès aux rendez-vous médicaux, à des moments précis et pour des raisons précises, dans le cadre des fonctions supports ». La plateforme assure que si les données de rendez-vous ne sont pas chiffrées de bout en bout, c'est parce que « cela empêcherait l’utilité et le bon fonctionnement du service ». Les utilisateurs ne pourraient par exemple pas recevoir leur rappel de rendez-vous par e-mail ou par texto. La Quadrature du Net précise bien que cette situation n'est pas illégale. Cependant, elle est risquée. Un salarié mal intentionné pourrait détourner les données ou les transmet à un tiers.