Journal d'investigation en ligne et d'information‑hacking
Dossier
par Marjolaine Koch

Doctolib : la privatisation d'une partie du parcours de santé

Et les risques en termes de données personnelles

La prise de rendez-vous médicaux est désormais majoritairement entre les mains d'une entreprise privée. Quels risques cela fait-il courir aux patients en termes de protection de leurs données personnelles ? Nous avons eu du mal à obtenir des réponses à des questions précises.

Homepage de Doctolib - Copie d'écran

C’est incontestablement un fleuron de la nouvelle économie française, une « licorne » comme Emmanuel Macron voudrait en voir éclore dans tous les recoins de la halle Freyssinet. Une réussite comme Doctolib, ça s’affiche : à chaque changement de Secrétaire d’État, le nouveau préposé se fend d’une visite chez la seule compagnie à avoir réussi une levée de fonds aussi spectaculaire. Quelque 150 millions d’euros au printemps dernier, du jamais-vu alors en France.

Doctolib est le numéro un du marché de la prise de rendez-vous médical. Quel que soit le médecin, spécialiste, thérapeute en libéral ou en établissement, vous le trouverez sur Doctolib. Et s’il n’y est pas ? On vous recommandera d’autres praticiens dans la même zone géographique qui eux, sont clients de Doctolib.

Passée de 0 à 800 employés en cinq ans, la start-up n’en finit plus d’accumuler les bons résultats : De 76 000 médecins clients début 2019, ils sont passés à 150 000 à la rentrée. De 12 millions de visites par mois sur le site en janvier, ils en sont à 40 millions en septembre. Les 16 acteurs concurrents se partagent de plus en plus les miettes, l’écrémage a commencé.

Mais Doctolib, ce n’est pas que de la prise de rendez-vous. C’est aussi des téléconsultations, remboursées par la Sécurité sociale depuis janvier dernier si l’on respecte certaines règles relatives au parcours médical. Tous ces actes, plus ou moins anodins, sont autant de données qui transitent par l’intermédiaire privé qu’est Doctolib.

Sur la page consacrée à la politique de protection des données personnelles, la société précise qu’elle est susceptible de traiter les coordonnées, le nom du médecin traitant, des médecins consultés, leur spécialité, le motif de consultation et les données appartenant au dossier médical que le praticien souhaite partager avec le patient. En cas de téléconsultation, Doctolib propose au médecin l’interface sécurisée qui permet d’entrer en visioconférence avec son patient, mais aussi de partager des documents et le compte-rendu de fin de consultation, de manière sécurisée, précise le site.

Un troisième type de données est également collecté : à la signature de son contrat, le médecin autorise, à moins qu’il ne pense à décocher la case, Doctolib à évaluer sa prestation. Bien que le site se soit toujours érigé en fervent opposant à l’uberisation du métier et donc, à la notation des médecins, il propose aux patients de les évaluer. A la suite d’un rendez-vous, vous pouvez donc recevoir un mail écrit au nom du médecin, qui vous sollicite pour évaluer sa prestation : temps accordé, disponibilité, accueil… Une dentiste de l’ouest parisien a ainsi eu la surprise d’apprendre que Doctolib contactait ses patients en son nom pour qu’ils la notent. « Je les ai immédiatement appelés pour comprendre ce que cela signifiait. On m’a répondu que j’avais accepté cette clause dans le contrat, et que je pouvais décocher cette case à tout moment, ce que j’ai fait. » Pour autant, ces évaluations n’apparaissent à aucun moment sur le profil public du médecin. Ces données, a précisé son interlocuteur à la dentiste, lui sont destinées à titre personnel. Reste que Doctolib engrange au passage aussi ces informations.

Comme tous les acteurs gérant des données de santé, Doctolib est soumis à un protocole concernant leur stockage. Seuls les hébergeurs agréés données de santé sont habilités à stocker ces informations, qui sont chiffrées dès réception.

A la question de la protection de ces données, Stanislas Niox-Château, le jeune fondateur, est catégorique : « D’abord, on n’est propriétaire de rien. Ensuite, on n’a accès à rien. Pour nous c’est simple : il n’y a pas d’enjeu, car les patients sont propriétaires de leurs données et les établissements et les praticiens sont propriétaires de leurs données. Mais cela va encore plus loin : nous n’avons pas accès à ces données, car elles sont encryptées en base et encryptées dans le transfert. »

Pas accès, vraiment ? Dans les faits, les données passent forcément « en clair » à un moment dans les tuyaux de Doctolib, avant d’atterrir dans le « coffre-fort » de l’hébergeur de données de santé. Et le PDG, si prompt à rassurer les utilisateurs, a pourtant mis en place comme tous les autres sites un système d’aspiration des données accessibles sur les réseaux sociaux : en cliquant sur les icônes Twitter, Facebook, Linkedin ou Google Plus figurant sur le site ou l’application Doctolib, l’utilisateur donne accès à ses informations personnelles indiquées comme publiques et accessibles. Rassurez-vous : c’est uniquement « pour améliorer la convivialité du site et aider à sa promotion via les partages. »

Plusieurs cadres légaux protègent de fait l’exploitation des données : le RGPD, règlement européen appliqué depuis mai 2018, a renforcé la protection des données personnelles. Puis il y a la CNIL, qui s’assure que les données personnelles ne sont pas utilisées à d’autres fins que la prise de rendez-vous, dans le cas de Doctolib. Et puis la dernière couche déjà évoquée : Doctolib, comme tous les acteurs du secteur de la santé, doit chiffrer ses données et les confier à un hébergeur agréé.

Sur ce dernier point, la société a choisi de répartir ses données entre les trois plus grands hébergeurs du marché : Corail, AZ Network et AWS, ce dernier étant le cloud d’Amazon. Et là, bien que les dirigeants de Doctolib, comme ceux de la CNIL, se veuillent rassurant, il existe un risque.

Car notre RGPD européen entre en conflit avec le Cloud Act, une loi adoptée par les Etats-Unis en mars 2018. Elle permet aux autorités américaines d’exiger des entreprises la communication de données, peu importe leur localisation. Pour être visé par une demande fondée sur le Cloud Act, l’opérateur concerné doit être soumis à la juridiction des Etats-Unis. Et les critères permettant de déterminer si une société est soumise à la juridiction américaine sont larges, l’application du droit américain ne se limitant pas aux seules sociétés constituées aux Etats-Unis ou ayant leur siège social sur le territoire : il suffit de prouver que la société mère exerce un contrôle sur ses filiales établies hors des frontières US. Dans le cas d’Amazon, le lien avec les Etats-Unis n’est plus à faire. Les autorités américaines ont donc potentiellement accès à toutes les données stockées par la société, même si les serveurs sont situés dans d’autres pays.

Pour en savoir un peu plus sur l’effective sécurisation des données, nous avons tenté de contacter le service de presse pour lui soumettre la série de questions suivantes :

  • Quels sont les moyens techniques et organisationnels de chiffrement mis en place pour assurer la confidentialité des données, y compris dans le cas d'une attaque interne (employé indélicat) ?

  • Vous hébergez vos données chez Amazon. Quelle entreprise est en charge de l'infogérance et/ou de la politique de sécurité de vos infrastructures ?

  • En quoi consiste cette politique de sécurité ?

  • Cette entreprise a-t-elle déployé des outils de type IDS [un outil de détection d'intrusion, ndlr] sur votre infrastructure (si oui, de quel éditeur) ?

  • Réalisez-vous des tests d'intrusion (si oui avec quelle entreprise et avec quelle régularité) ?

Malgré des messages envoyés depuis juillet dernier, nous n’avons reçu aucune réponse. Mais en lisant la page dédiée à la politique de Doctolib en matière de protection des données personnelles, nous sommes tombés sur cette proposition : « si l’utilisateur a des questions ou des réclamations concernant le respect par Doctolib de la présente politique, il peut contacter [la société] à contact.dataprivacy@doctolib.fr. » Nous avons donc envoyé, à nouveau, notre liste de questions. Pas de réponse à ce jour…

Le fondateur de Doctolib, de son côté, balaye les doutes en expliquant qu’il suit à la lettre la réglementation française. Ce qui est vrai. Et il ajoute que sa société est et restera française à l’avenir, pour lui toute autre spéculation ne serait que pur fantasme. Reste que l’on imagine mal ce jeune trentenaire, déjà fondateur d’autres sites à succès comme La Fourchette, Weekendesk ou Balinea, se contenter uniquement de développer Doctolib pour le restant de ses jours. Rien ne dit qu’il ne revendra pas un jour sa poule aux œufs d’or pour financer d’autres projets prometteurs. Et alors, qui sait sous quel pavillon passera Doctolib ? Lors de la dernière levée de fonds qui a atteint des montants record, le principal investisseur était Général Atlantic, un fonds d’investissement... américain.

4 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée