C’est un article de France Inter qui a déclenché la guerre de communication. Nos confrères se sont demandés si les données manipulées par Doctolib étaient correctement protégées, notamment si leur chiffrement était suffisamment fort.
L’article qui en est ressorti, un peu confus, évoque un chiffrement incomplet, avec des tests ayant permis de conclure que les données étaient en clair sur les serveurs d’Amazon Web Services – utilisé par Doctolib pour le stockage et certifié pour le stockage des données de santé – avant d’être envoyées chez l’utilisateur. Doctolib et AWS pourraient accéder aux données.
Conclusions réfutées par Stanislas Niox-Château : « Une clé de chiffrement est générée et processée (sic) par Atos, de telle sorte que AWS n’a aucun accès à cette clé de chiffrement, ni en transit ni au repos ». Pas de chiffrement de bout en bout ? Il « ne peut pas se fabriquer sur l’ensemble des cas d’usage et la sécurité à 100 % n’existe jamais, sur aucun système au monde ». Mais il est quand même utilisé « pour la protection des documents médicaux et pour notre nouveau logiciel médical pour les médecins libéraux ».
Des éléments de réponse que l’on retrouve dans le communiqué du PDG sur Medium. Il y affirme que les données sont chiffrées au repos comme en transit, que le chiffrement de bout en bout – technique décrite comme « avant-gardiste » et « très faiblement déployée dans le monde » – continuera sa progression au sein de l’entreprise. En outre, les « différentes méthodes de chiffrement mises en place par Doctolib représentent l’état de l’art (sic) des recommandations des agences gouvernementales sur la cybersécurité ».
Pas question non plus qu’AWS accède aux données : elles sont hébergées en France et en Allemagne, elles sont chiffrées, et les clés sont hébergées en France chez ATOS. Et de rappeler que « le respect de la vie privée est un droit fondamental et c’est l’une des valeurs essentielles de Doctolib ».
Les découvertes de Rémy Grünblatt, chercheur à Inria, vont cependant dans le sens de France Inter. Il a ainsi découvert que les photos des médecins et établissements étaient stockées chez Cloudinary. Lors d’une requête pour trouver un praticien, les images sont chargées depuis les serveurs du prestataire. Cloudinary est donc en capacité de savoir « si l'utilisateur cherche un oncologue, un chirurgien dentiste, et peut techniquement re-construire la requête de l'utilisateur en utilisant les photos des praticiens ».
Selon lui, Doctolib envoie également des métadonnées à Google Analytics et Amazon sous forme de télémétrie. Malheureusement, dans les données envoyées à AWS, « on peut retrouver des URLs qui correspondent à ce que visite ou recherche l'utilisateur ».
Il pointe également l’utilisation de Cloudflare, dont l’adresse IP répond aux requêtes, même si le certificat TLS est celui de Doctolib. Pour le chercheur, cela « veut très probablement dire que Doctolib a uploadé sa clef privée sur les serveurs de Cloudflare (qui sert ainsi de terminaison TLS), ce qui signifierait que Cloudflare peut lire les données « en clair » ». Le réglage de Doctolib sur Cloudflare ne pouvant être connu, il ne pourrait être vérifié qu'après enquête, par exemple de la CNIL.
Les conclusions d’InterHop – association de promotion et de mise à disposition des logiciels libres et open-sources pour la santé – sont équivalentes. Les données de santé ne sont ainsi pas toujours chiffrées, il est « hautement probable » que Cloudflare y ait accès en tant que relais entre l’App Server et l’application, le chiffrement de bout en bout devrait être élargi à l’ensemble des documents et le risque d’ingérence américaine est à prendre au sérieux, en vertu du FISA, de l’Executive Order 12333 et du Cloud Act.
Voilà pourquoi InterHop et douze autres requérants avaient déposé un recours en urgence au Conseil d’État, pour demander l’annulation du partenariat entre Doctolib et l’État pour la campagne de vaccination contre la Covid-19. Le recours était examiné lundi, la réponse du Conseil est imminente.
Commentaires (27)
#1
Je vois de plus en plus de spécialistes préconiser Doctolib pour la prise de rdv, dans certains cas le numéro de téléphone du secrétariat n’est même plus disponible.
#1.1
Oui, ça devient de plus en plus indispensable de passer par Doctolib pour ceux qui ont un nouveau médecin :/
Perso, j’ai toujours le portable du mien, et je le garde précieusement
#1.2
Certains demandent même qu’on passe par doctolib pour mettre les documents (courrier, compte rendu d’examen, …)
#2
Comment ça, ils ne font pas de chiffrement homomorphe ? Ça deviendrait ainsi « avant-gardiste ».
Plus sérieusement, je me demande vraiment ce qu’ils chiffrent avec une clé chez Atos. Stocker des données avec la clé à côté (accessible), ce n’est pas chiffrer, c’est perdre de la performance pour aucun gain de sécurité.
#3
Logique à terme : supprimer ce poste
#4
J’avoue que j’aimerais bien que mon docteur passe à Doctolib, car comme il n’a pas de secrétaire il arrive fréquemment qu’il doive répondre au téléphone pendant la consultation, ce qui n’est pas toujours agréable si on est en train d’expliquer des symptomes ou autres.. Et forcément du coup moi quand j’appele pour prendre un RDV je me dis que je dois le déranger en pleine consultation mais bon pas d’autres choix !
#5
Fondateurs = 2 «start-uppeur» + 2 commerciaux … du coup ça ne m’étonne que moyennement comme résultat
#6
Bonjour,
Je suis médecin et client de doctolib. Le manque de sécurisation est un élément inquiétant en effet. Pour l’utilisation au quotidien je dois avouer que le logiciel est vraiment pratique. En l’occurrence il ne vient pas en remplacement de la secrétaire mais en complément, permettant un accueil un peu meilleur au cabinet. Après il faut être honnête, peut être que sans doctolib nous aurions besoin d’une secrétaire supplémentaire. Et sans reconnaissance vocale de deux de plus et ainsi de suite…
L’échange des documents avec les patients est vraiment intéressant pour nous, s’il est bien sécurisé. A l’heure actuelle, les échanges se font généralement par courriels, qui ne sont absolument pas sécurisés mais évitent un déplacement au cabinet ou un envoi postal pour les personnes habitant loin. Ce n’est pas très réglementaire mais je vous mets au défi de trouver un médecin qui ne le fait pas et d’un patient qui n’est pas demandeur. (Entre médecins, il y a des messageries sécurisées gratuites qui fonctionnent très bien et nécessitent une carte à puce, mais certains restent malheureusement réfractaires).
L’éclairage supplémentaire est que doctolib est en train de lancer son propre logiciel médical, qui semble séduisant en ce qui concerne l’interface. Mais bientôt, avec les médecins qui passeront par eux, leur données ne se limiteront plus à “qui consulte qui”, mais ils auront accès à la totalité du dossier médical. J’espère que les données seront correctement protégées.
#6.1
à propos du DMP, le proposez ou l’utilisez vous dans vos consultations ?
les dernières choses que j’ai lu faisait état de module à acheter pour les logiciels de suivi de patientèle qui coutaient un peu les yeux de la tête …
#7
Aussi médecin ici, par contre nous utilisons clicrdv.com (solocal/pagesjaunes) avec en plus une secrétaire en local à temps partiel.
Pour le reste (téléconsultations, échanges de documents, discussions avec patients) c’est un mixte entre un Nextcloud auto-hébergé, Mailiz/MSSanté et mail pour l’administratif non médical.
Cependant force est de constater que nous utilisons tout de même régulièrement doctolib pour trouver des rendez-vous pour nos patients auprès de spécialistes ou pour les vaccins covid…
#8
Sujet fort intéressant pour la génération actuelle de plus en plus connecté.
J’utilise Doctolib et Agenda Direct et je ne me suis jamais posé la question de la sécurisation des mes données.
Je ne sais pas trop ce que ferais les “chinois du FBI” avec l’information de mon future rendez-vous chez le proctologue, le soucis n’est pas dans la donnée personnelle individuelle mais dans la masse et l’analyse de la big data que constitue ces données personnelles.
L’exécutif devrait imposer un stockage en France des ces données, mais devrait aussi moderniser tout la chaine du traitement de l’information du secteur médical.
Le DMP semblait être une bonne idée, je n’ai aujourd’hui jamais rencontré de professionnel m’ayant déposé un document dessus, mon DMP sert de boite de réception à mes accusés de remboursement CPAM.
#9
Pourquoi avoir mis un sic après “l’état de l’art” ?
#10
Je me doute bien mais indépendamment de la problématique liée aux suppressions de poste c’est surtout le niveau de sécurité et de confidentialité lié à la démarche qui m’inquiète
Je ne suis pas du même avis, je pense que c’est un problème à l’échelle individuelle ET collective
LE truc que je ne ferai pas à moins d’y être obligé
#11
Doctolib, avec des cookies googleAds, doubleclick, googleanalytics. Comment dire ….
#12
En effet…
#13
Ce serait pas plutôt à l’Assurance maladie de proposer ce service de prise de rendez-vous et conservation des documents ? Ce serait une continuité cohérente de la carte vitale, et éviterait les dérives possibles liées à l’appât du gain d’une entreprise à but lucratif.
#13.1
Le service de conservation et partage des documents existe déjà, c’est le DMP.
mais personne s’en sert.
#13.2
Et ça serait aux assurances autos de proposer un service de rendez-vous chez les garagistes ?
Une assurance, fut-elle maladie, doit assurer, pas offrir des services aux médecins.
Qu’on lui ait confié le tracing du COVID19 est déjà une connerie sans nom. Et c’est tellement efficace qu’ils ne sont capables de le faire qu’avec un R0 très faible. La seule chose que montre cette mesure est qu’il y avait plein de gens qui avaient du temps disponible chez l’Assurance Maladie !
#13.3
Les assurances autos ne sont pas des services publics, et contrairement à la couverture santé, aller chez le garagiste n’est pas indispensable.
Ces données de rendez-vous et ces documents doivent être gérés collectivement, pas être délégués à des entreprises à but lucratif en position dominante.
#13.4
au vu de l’efficacité de la Sécu quand il s’agit de perdre un dossier, de ne pas inscrire quelqu’un ou de demander des papiers qu’ils ont déjà (ah non, ça ils sont bons !) il vaut peut-être mieux qu’ils se concentrent sur ce qu’ils font le
mieuxmoins mal : le travail qu’une assurance (privée) fait dans tous les domaines qui ne sont pas la santé.#13.5
Si le législateur se calmait sur les réformes qui demandent des développements et réorganisations constantes, et si l’exécutif arrêter de pomper son budget pour équilibrer ses comptes, elle pourrait bosser un peu mieux.
Si la Sécurité sociale ne donne pas satisfaction, on réfléchit à ce qui ne va pas, et on s’en donne les moyens collectivement. La mise en concurrence sur les données de santé, ça va finir en fuite de données.
Je ne comprends pas que la privatisation et mise en concurrence sur des secteurs vitaux ne vous pose pas plus de problème que ça.
#13.6
je pense que c’est une question de définition et de désaccord sur ce qu’est un “secteur vital” qui ne pourrait pas fonctionner correctement sans l’intervention de l’État.
Mais en dehors de ce désaccord, je suis parfaitement en phase avec votre premier paragraphe, qui s’applique malheureusement un peu dans tous les domaines où les politiques peuvent fourrer leurs pattes (ce qui plaide du coup pour une réduction de leurs capacités de nuisance, ce qui nous ramène au premier point)
#14
Ah bon ? J’espère que tu n’as pas de véhicule. Parce qu’un véhicule, ça s’entretient et il est (quasiment)impossible de le faire soi-même avec l’électronique qui s’y trouve.
Et pourquoi ça ? Pourquoi la médecine libérale n’aurait pas le droit de choisir son prestataire de service ?
De toute façon, mon propos était que ce n’est pas le boulot d’une assurance d’offrir un système de rendez-vous ou de gestion de documents.
#15
Si je résume :
Migrer toute l’infrastructure chez AWS c’était pas la bonne idée, le vendor lock-in ça revient fort dans la gueule hein.
#16
C’est bizarre, sur la mienne je peux quasiment tout faire moi-même (il n’y a que les tests de la partie hybride qui demandent un matériel spécifique non accessible à un particulier), et pourtant elle est bardée d’électronique.
#16.1
Tu peux enlever la petite clé à molette qui se mets sur le tableau de bord tous les 20000 km ? C’est le truc relou ca ^^
surtout si tu veux la revendre, tu n’as pas de carnet d’entretien du coup
#17
Ah moi c’est plus simple : il n’y a aucun rappel de vidange
(c’est Toyota, ils font souvent des bizarreries dans le style : le bip arrière sonne en permanence, mais dans la voiture, pas dehors ; les portières ne se verrouillent pas automatiquement en roulant parce qu’au Japon il n’y a pas de car jacking (donc OSEF du reste du monde) ; et le plus comique c’est que j’ai les capteurs de pression de pneu, la voiture les reconnait et m’indique quand un pneu est trop dégonflé, mais je suis obligé de passer par un boîtier OBD2 et Tire Assistant pour voir les valeurs car ca n’a pas été inclus dans le menu du tdb ou de l’écran central!)
Et les voitures je les change quand je les ai emmené au bout de leur vie, pas avant.