C’est par un message « pour le moins désinvolte » selon le docteur Jean-Jacques Fraslin que la plateforme informe les médecins concernés :
« Cela concerne les observations médicales (les champs Motifs, Interrogatoire, Examen et Conclusion de la section Observation médicale) de vos consultations effectuées entre le mercredi 26 avril 17h40 et le jeudi 27 avril 11h40, pour lesquelles vous avez partagé au moins un document avec le patient ou avec un autre praticien, n’ont pas été sauvegardées ».
« Les informations ont été perdues mais aucune n'a été divulguée à qui que ce soit. Les champs de textes concernés n'ont au contraire pas été enregistrés », confirme Doctolib à BFM TV. Toujours selon nos confrères, « 1,3% des praticiens ont été victimes du bug technique, soit 2300 spécialistes, et donc plusieurs milliers de patients associés ».
Enfin, le service juridique de Doctolib affirme à nos confrères ne pas être dans l’obligation de déclarer l’incident à CNIL. Jean-Jacques Fraslin n’est pas du même avis et a fait une déclaration à la CNIL de son côté.
Commentaires (32)
#1
c’est ça d’être une entreprise en position dominante: tu peux faire ce que tu veux, de toutes façons les clients restent par manque de concurrence…
#1.1
Ils ne sont pas dominant, vu le soucis il s’agit de leur logiciel métier qu’ils lancent depuis l’année dernière et où la concurrence ne manque pas.
L’n des intérêts de ces logiciels en ligne étant justement la gestion déporté de la sauvegarde par des “pro’. Et la je trouve que ça la fout mal.
#2
C’est quand même très étonnant comme position de la part de Doctolib. Certes, toutes les violations n’ont pas à être déclarées, seulement celles ayant un impact réel pour les personnes (article 33 du RGPD).
Ici, on parle quand même de documents médicaux, impactant plusieurs milliers de patients.
L’impact, c’est une perte possible de chance pour le patient. Et dans le doute, vaut mieux faire une déclaration “inutile” que de ne pas faire une déclaration obligatoire.
#3
Ils vont jouer sur le fait que ces données n’ont pas existé dans le SI pour dire qu’il n’y a pas eu de problème de disponibilité, c’est certain. N’empêche que si l’affaire devient publique, la CNIL va devoir aller voir ce qui s’est passé.
Dans le même temps, avec la taille qu’ils ont, le moindre incident va impacter plein de clients et puisque leur fond de commerce c’est la données de santé, forcément ça va être touchy.
Travaillant moi même, dans la santé publique et une boite ISO 27001 HDS, je peux assurer que les incidents c’est un vrai casse tête de savoir comment ou quand les déclarer.
#3.1
Intéressante approche. Après d’un point de vue juridique ce n’est pas forcément tenable puisque le traitement “inscription des données médicales dans le carnet de santé Doctolib” (ou équivalent) a bien subit une violation de données s’il n’a pas pu être effectué correctement (dans ce cadre là une perte de disponibilité)
Comme l’évoque @fdorin on peut partir sur l’hypothèse que le risque est important s’il y a une perte de chance pour le patient et là c’est à Doctolib de justifier que les données perdues ne peuvent pas créer de perte de chance (mais sans savoir exactement ce que contienne les données du fait de la perte et du secret médical
)
#4
Concernant la déclaration à la CNIL, le docteur en question est revenu sur sa position après avoir (re)lu le RGPD :
#4.1
En fait, la perte de données est bien une violation (article 4 12.) :
Il y a bien eu perte de données.
Il peur faire un nouveau correctif sur Twitter !
#4.2
Oui, la perte de données est bien une violation.
Mais une violation n’entraîne pas automatiquement une notification à la CNIL.
La notification est nécessaire uniquement si la violation est « susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».
(Ce qui est parfois sujet à interprétation).
#4.3
Oui, en essayant de voir s’il avait dit autre chose sur le sujet, (qu’est-ce qu’il est bavard sur Twitter, ce médecin !), j’ai relu ce que tu avais cité et je vois que je t’ai répondu “à côté”.
Il y a je pense un risque pour le droit à la protection de la santé (article 35 de la charte des droits fondamentaux de l”UE) et dans certains cas pour le droit à la vie (article 2).
Et dans le doute, il faut déclarer à la CNIL qui ne sanctionnera jamais une déclaration inutile.
#5
Pertes de chances pas forcément vus qu’ils ont prévenus les soignants
#6
Vu qu’on en discute sur NI, j’imagine qu’on peut dire que c’est devenu public :)
#7
Ce n’est pas sujet à interprétation dans le médical car il y a une obligation à identifier exhaustivement les risques. Donc les critères qui attestent de l’existence d’un risque sont connues par le fabricant et les autorités, et ne sont pas (ou trèèès peu) interprétables.
Par contre, la perte de données médicales conduit généralement à un risque très bas. La raison étant qu’un praticien doit consulter les données pour prendre une décision clinique. Si les données sont absentes, il doit refaire les actes pour obtenir à nouveau les données. Le risque est donc un retard dans le diagnostic, ce qui est généralement assez bas comme niveau de gravité.
#7.1
Sauf à parler de dépistage ou de cancer…
#8
Non. Un retard de qq jours sur le diagnostic pour ce type de pathologie ne changera malheureusement pas le taux réussite/échec du traitement.
Les retards sont problématiques lorsque les patients sont déjà dans un état critique (pronostic vital engagé sur qq heures/jours). Mais dans ces cas là il y a des circuits exceptionnels pour gérer la transmission des informations. On ne compte pas sur une notif de doctolib :)
#8.1
Tu parles de retard mais lorsque le diagnostic dépend de remarques dans un dossier et que ces dites remarques se perdent sans être remarquées de suite, ça peut causer de réels problèmes dans le suivi de la maladie et dans les chances de guérisons.
Généralement, il existe une deuxième lecture dans les diagnostics de certains cancers mais je peux t’assurer que les bugs applicatifs existent et mènent quelques fois à des choses terribles pour les patients.
Même si ce n’est pas vital, mais lorsqu’on te dit que finalement tes cellules ne sont pas cancéreuses alors que si, c’est un préjudice moral notable même si la bonne information est donnée ensuite.
#9
Tu fais 2 hypothèses fortes qui sont malheureusement erronées :
Ce n’est malheureusement pas toujours le cas. Pour reprendre le traitement d’un cancer par exemple, la présence/absence d’une anapath peut très bien changer le type de traitement qui sera administré au patient.
Et sur les milliers de documents manquants, tu peux être sur qu’il en manquera un certain nombre.
Quoi qu’il en soit, je n’aimerai pas être celui qui va annoncer au patient (ou à la famille) que le diagnostique / traitement n’était pas le bon à cause d’un bogue informatique.
#10
Ca me parait peu plausible qu’un praticien fasse du suivi médical sans s’apercevoir qu’il manque des résultats. Généralement il y a des actes de commandés pour faire du suivi, donc s’il n’y a pas les résultats il devrait s’en rendre compte.
Il est vrai que doctolib ne gère que le dossier médical partagé (DMP), donc je ne sais pas trop si le praticien peut voir les actes demandés.
J’avoue que je suis plutôt familier du niveau EHR/EMR où la c’est assez évident de voir qu’il manque des infos dans le dossier.
#11
Qui peut me dire ce qu’il y a comme données sur Doctolib ?
#11.1
Ça dépend on parle de quel logiciel sur docto? Agenda ? Gestion de cabinet?
Dans l’agenda normalement il n’y a pas de données médicales juste des rdv et avec quel professionnel donc avec ça on serait pas le problème médical de l’utilisateur lambda.
Pour les données du logiciel medical par contre la il y a toutes les données médicales des patients. Sachant que dotoc ne fait que pour les médecins et depuis ce mois ci les kinés.
#12
D’après ce paragraphe, s’il n’y a pas eu de “violation de la sécurité”, cela n’est pas une violation de la RGPD.
Cela aurait été le cas si un hacker était entré dans leur système et avait supprimé des données.
#12.1
La sécurité, pour le RGPD, il me semble que ça contient aussi le fait de ne pas les perdre.
L’ANSSI parle ici de résilience.
Et l’article 32 du RGPD va dans le même sens :
Voir le c) en particulier
#12.2
Oui ici à la lecture du message de Doctolib, je ne suis même pas sûr que les données soit passées par leur infractructure. Il est possible qu’un problème réseau soit à l’origine du non enregistrement des données saisies par les médecins.
Cas très interessant en tous cas et à étudier pour la CNIL.
#13
Ne pas confondre “sécurité” et “sécurisation” :
L’article sur les violations de données s’intéresse bien à la sécurité des données, non à la sécurisation. Du coup, c’est bien l’acte (ici, la perte de données) , et non le pourquoi qui prime (ici, bogue).
#14
Ou tu as vu position dominante ? Dans le domaine du logiciel de gestion médical doit est le petit dernier et pas encore en position dominante.
Il ne l’ai que sur l’agenda médical et cet article parle de perte sur la partie logiciel medical
#14.1
bah, disons que c’est la seule entreprise de gestion d’agenda de cabinet médical AVEC centre d’appel pour la prise de rendez-vous que je connaisse…
#15
Bon en même temps les logiciel sur le web vendent du rêve ( plus de sauvegarde a effectuer, accecibilite de n’importe où. Mise a jour en permanence…) au praticiens pour un prix bien plus élevé que le même logiciel en solution lourde ( installé sur le pc du prat). Celui qui est le plus gagnant et l’éditeur de logiciel qui peut continuer à proposer de plus en plus de services en options payante et enfermer le prat sur leur solution.
Il est prévu normalement que dans quelque temps un format d’interopérabilité des données de logiciel de gestion médical doit mis en place pour simplifier le passage d’une solution a une autre mais dans combien de temps et a quel prix?
#16
Hé bien je parle de tout.
En réfléchissant au sujet DoctoLib on voit clairement des soucis.
De l’autre coté si c’était un service public
Faut pas se mentir l’étude de ces données permet de faire bien des choses… Comme d’étudier le nombre de consultation pour une discipline et d’infléchir vers le bas les remboursements associés par exemple.
Et je parle même pas des données médicales.
Donc qui serait le bon candidat pour gérer cela ? Pour moi aucun des deux tant les risques sont grands.
#17
Sauf qu’il ne s’agit pas de la prise de rendez vous mais a priori de la gestion des dossiers médicaux.
Dans ce domaine, ils sont loin d’être les seuls sur le marché
#18
Ce serait intéressant de connaitre l’origine de la perte de données d’autant que les dites données certes chiffrées sont hébergées chez AWS si je me souviens bien.
#19
Et des incidents c’est malheureusement assez fréquent, même si pas toujours/rarement déclaré, vu que le manque de sécurisation dans le domaine médical c’est presque la norme tant les fabricants de matos font de la merde sur la partie logicielle.
Je fais de l’install/maintenance de matos médical et ce que je vois presque tout les jours est consternant, encore ce matin un client appelle parce qu’il était emmerdé avec son matos de radiologie, la cause était tout simple : les pilotes et softs d’exploitation de ses machines (et de la plupart des autres toutes marques confondues) sont programmés à la truelle et ne fonctionnent que sur une machine sur laquelle toutes les sécurités sont désactivées et avec les droits admin.
Là le client venait de passer ses PC sous Win11 et du coup avec toutes les nouvelles sécurités activées par défaut plus rien ne fonctionnait et aucune autre solution qu’un rollback au Win10 “openbar” qu’il avait avant, le fabricant ne proposant aucune solution pour faire tourner son matos sur une machine “sécurisée”.
#20
Je parlais seulement des RDVs. Rien que cela ca permet de profiler les patients par thématique.
Aller voir un kiné tous les 3 mois. Et hop c’est des mal-de-dos (potentiellement). Et par recoupement successifs: type consultation, fréquence, quel médecin, quel endroit (certains officient à 2 endroits en temps partagé), stat des vente de pharmacie etc, on finit pas savoir beaucoup de choses.
Rien que cela présente un risque pour moi.
#21
Non mais votre banque aussi ainsi que votre opérateur téléphonique… L’important c’est qu’ils ne peuvent pas faire tous ce qu’ils veulent avec nos données.