En quelques années, Doctolib est devenu un acteur phare du système de santé avec 50 millions d’utilisateurs en France. Mais contrairement à ce que l’entreprise a longtemps affirmé, nos données personnelles ne sont pas entièrement chiffrées.

Les données des utilisateurs de Doctolib ne sont pas toutes chiffrées de bout en bout, contrairement à ce que l’entreprise prétend. © Maxppp / Fred Dugit

“Après un travail de deux ans mené avec Tanker, entreprise technologique française de pointe spécialisée dans la sécurisation des données (…), Doctolib annonce aujourd’hui la mise en œuvre du chiffrement de bout en bout pour les données personnelles de santé de ses utilisateurs.” En juin 2020, juste après le premier confinement, Doctolib publiait un communiqué de presse pour annoncer la mise en œuvre du chiffrement de bout en bout (end-to-end encryption en anglais) des données médicales de ses utilisateurs. Ce qui signifie, en théorie, que seuls les patients et leurs médecins peuvent y avoir accès. Le communiqué de Doctolib précisait également : “Cette technologie rend rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance.”

Deux ans plus tard, alors que Doctolib a joué un rôle central dans la vaccination des Français contre la Covid-19, la cellule investigation de Radio France a effectué un test qui montre que la plateforme ne chiffre pas de bout en bout l’ensemble des données de ses utilisateurs. Elle a donc accès à certaines informations confidentielles, contrairement à ce que l’entreprise prétend. Ce test est assez simple à réaliser. Nous nous sommes connectés via notre ordinateur sur notre compte Doctolib, en renseignant adresse mail et mot de passe. Nous avons alors accès à tous nos rendez-vous médicaux passés et à venir. Puis nous avons utilisé un débogueur pour inspecter le code de la page que nous avons sous les yeux, l’arrière-boutique en quelque sorte. “On voit ainsi les échanges entre Doctolib et votre ordinateur”, explique le développeur Benjamin Sonntag, cofondateur de l’association La Quadrature du Net, qui effectue ce test à nos côtés. “Ce qu’on découvre c’est un document qui s’appelle appointments.json*”, poursuit-il.

Capture d’écran montrant le stockage d’informations relatives aux rendez-vous pris sur Dotolib. © Radio France / Cellule investigation

En cliquant sur le lien en bleu nous arrivons à une arborescence qui donne accès à tous nos rendez-vous médicaux à venir. Les rendez-vous passés sont accessibles de la même manière.

Capture d’écran de l’arborescence montrant les rendez-vous confirmés sur Doctolib. © Radio France / Cellule investigation

Et en cliquant sur 0, 1, 2, 3, 4, nous voyons les détails de nos prochains rendez-vous : nom et prénom du patient, date et heure du rendez-vous, nom et spécialité du médecin et même le motif de la consultation.

Captures d’écran montrant les informations en clair et donc visibles par Doctolib. © Radio France / Cellule investigation

Des données de santé visibles par des salariés

“On a reçu de Doctolib les données en clair sur vos prochains rendez-vous. On ne les a pas reçues chiffrées”, explique Benjamin Sonntag. “Donc cela veut dire que Doctolib lui-même a ces informations en clair”. Or ces rendez-vous médicaux sont signifiants et renseignent sur l’état de santé d’une personne. “Si vous allez régulièrement chez un oncologue ou chez un psychologue, cela raconte quelque chose sur votre état de santé”, poursuit Benjamin Sonntag.

Un élément rassurant, ces données sont chiffrées quand elles sont en transit, c’est-à-dire quand elles circulent entre Doctolib et notre navigateur internet. Personne ne peut les intercepter en cours de route. Mais chez Doctolib, des salariés ont bien accès aux détails de nos rendez-vous médicaux. “Typiquement ce sont les responsables des sauvegardes, les administrateurs système, ceux qui gèrent le réseau et les serveurs qui peuvent avoir accès à ces informations”, explique Benjamin Sonntag. Interrogé, Doctolib reconnaît effectivement dans un mail détaillé que : “Les données de rendez-vous ne sont pas chiffrées de bout-en-bout. […] Cette technologie de pointe, encore peu répandue […] ne peut s’appliquer à l’ensemble des données traitées sans impact majeur pour les utilisateurs”, poursuit l’entreprise.

“Les données de santé se moyennent à prix d’or”

Quel serait cet impact ? “Notre code doit pouvoir avoir accès à certaines informations liées aux rendez-vous pour garantir l’utilité et le bon fonctionnement du service”, répond Doctolib dans son mail. “Concrètement, si les données de rendez-vous étaient chiffrées de bout en bout, le service de rappel de rendez-vous par SMS ou e-mail ne pourrait pas exister aujourd’hui.” Selon Doctolib, “un nombre très restreint de salariés a accès aux rendez-vous médicaux, à des moments précis et pour des raisons précises, dans le cadre des fonctions supports”. C’est-à-dire quand un médecin ou un patient rencontre un bug sur le site ou l’application.

Doctolib précise aussi que les pièces jointes échangées entre un patient et son médecin (compte-rendu d’analyses, radios, scanners, ordonnances...) et les flux de téléconsultations sont eux chiffrés de bout en bout. Aucun tiers n’y a accès. Le test que nous avons réalisé avec Benjamin Sonntag le confirme. “Les rendez-vous médicaux sont des données personnelles de santé au même titre que les pièces jointes échangées**”, estime pourtant Alexandra Iteanu, avocate au barreau de Paris, spécialiste en protection des données. “Ils devraient être protégés de la même manière.”

Pour autant Doctolib n’enfreint pas la loi en ne chiffrant pas de bout en bout l’ensemble des données médicales qu’il a en sa possession. “Le RGPD (règlement européen sur la protection des données personnelles, NDLR) ne rend pas obligatoire le chiffrement de bout en bout. Il l’encourage simplement en disant qu’il faut mettre en place toutes mesures techniques et organisationnelles pour protéger ces données”, précise l’avocate. Reste que Doctolib fait preuve de “manque de transparence”, estime Alexandra Iteanu car il communique sur un chiffrement de bout en bout qui n’est “pas mis en place en pratique”. En tous cas pas totalement.

Le risque pour l’utilisateur n’est pas que théorique. “Les failles de sécurité viennent souvent de l’intérieur des entreprises”, explique Alexandra Iteanu. “On n’est pas à l’abri qu’un salarié de Doctolib mal intentionné détourne ces données de manière malveillante ou les transmette à un tiers”, avance l’avocate. “Un tiers qui pourrait être un assureur ou votre employeur. Mais ces données pourraient être aussi revendues sur Internet”. Or les données de santé se monnayent à prix d’or sur le dark web. Les intrusions extérieures sont également possibles, comme on l’a vu en juillet 2020. Les informations concernant 6128 rendez-vous avaient été consultées illégalement par des pirates malveillants. Doctolib avait porté plainte.

L’entreprise a longtemps été ambiguë sur son chiffrement des données médicales. Dans un document interne (en anglais) datant de septembre 2019 que nous nous sommes procurés, il est écrit : “Ce n’est pas à strictement parler du chiffrement de bout en bout mais cela peut l’être en termes de communication.”

Document interne à Doctolib : “Ce n’est pas du chiffrement de bout en bout à proprement parler mais il peut l’être en termes de communication”, 2019. © Radio France / Cellule investigation

* JSON (JavaScript Objet Notation) est un langage léger d'échange de données textuelles entre un serveur et un navigateur web. Pour les ordinateurs, ce format se génère et s'analyse facilement (source Journal du Net).

**Dans une décision en date du 12 mars 2021, le Conseil d’État a jugé que les rendez-vous pris sur Doctolib pour se faire vacciner contre la Covid-19 n’étaient pas des données de santé. Mais cette décision concernait uniquement les rendez-vous de vaccination et non l’ensemble des rendez-vous médicaux pris sur Doctolib.

