Doctolib : un rendez-vous médical est-il une donnée de santé ?

Doctolib : un rendez-vous médical est-il une donnée de santé ?
Réglementaire

Fin mai 2022, Doctolib s’est retrouvé au coeur d’une nouvelle polémique : une enquête de Radio France a montré que la plateforme, contrairement à ce qu’indiquait sa communication, ne pratiquait pas le chiffrement de bout en bout pour toutes ses données. Les rendez-vous médicaux, notamment, n’étaient pas concernés. Doctolib s’est défendu en indiquant que cette exception était nécessaire pour pouvoir proposer des services-clés, comme l’envoi de SMS de rappel de rendez-vous.

Par la nature du service qu’elle propose et par sa popularité, Doctolib est, assurément, de toutes les licornes françaises, celle qui a fait face au plus grand nombre de polémiques, notamment sur la question du traitement des données.

Doctolib prétend appliquer le chiffrement de bout en bout à toutes les données

La plateforme traite en effet des données médicales, souvent sensibles, ce qui rend la méfiance légitime. Le 19 juin 2020, Doctolib avait ainsi adopté le chiffrement de bout en bout, présenté comme « une étape supplémentaire pour sécuriser les données personnelles de santé de ses utilisateurs ».

Selon la plateforme, il est désormais « rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance ».

Il est même précisé, dans une page du site consacrée à la sécurité des données, que « toutes les données de Doctolib sont chiffrées, au repos et en transit ». C’est sur cette allégation qu’a enquêté Radio France, fin mai 2022, une enquête longuement étudiée et commentée par nos collègues de Numerama.

Mais Radio France montre que ce n’est pas le cas pour les données de rendez-vous

Radio France s’est en effet assuré un buzz certain en affirmant que Doctolib mentait à ses utilisateurs : « Contrairement à ce que l’entreprise a longtemps affirmé, nos données personnelles ne sont pas entièrement chiffrées », indique l’enquête.

Et, en effet, il s’avère que les informations liées à la prise de rendez-vous (médecin consulté, date et lieu) ne sont pas chiffrées de bout en bout. En revanche, toutes les informations sur le motif de la consultation ou l’historique du patient sont bel et bien cryptées.

Permettre l’envoi de SMS

Doctolib a alors sorti l’artillerie lourde en matière de communication, via un thread Twitter et une réponse adressé par mail à toute la presse. La ligne de défense de la plateforme est simple : « Nous n’utilisons pas [la technologie de chiffrement de bout en bout] pour les rendez-vous pour une raison simple : garantir le bon fonctionnement de nos services (ex : permettre l’envoi de SMS pour le rappel de rendez-vous) ».

La plateforme précise même qu’aucun service similaire dans le monde ne chiffre de bout en bout les données de rendez-vous. Elle ajoute que ces données sont bien protégées et chiffrées, notamment en transit et au repos, mais pas « de bout en bout ».

Que privilégier ?

En clair : rappeler les rendez-vous par SMS est une fonctionnalité importante de Doctolib, elle évite de nombreux oublis, et est plébiscitée, tant par les médecins que par les utilisateurs.

Il semble donc à la plateforme que le gain apporté par ce service compense la perte de confidentialité induite par le non-chiffrement de bout en bout des données de rendez-vous.

Qu’est-ce qu’une donnée de santé ?

Plus globalement, comme le souligne Numerama, cette affaire pose une question presque philosophique : un rendez-vous est-il une donnée de santé sensible ? Connaître le type de spécialiste avec qui un patient a rendez-vous (par exemple un oncologue, un sexologue, un proctologue…) renseigne bel et bien sur son état de santé et sa vie privée.

Dès lors, que faut-il privilégier ? Une protection optimale de la vie privée, mais un service bien moins efficace ? Ou une service plus fonctionnel, mais quelques accrocs dans la vie privée ?

La transparence est la base de la confiance dans le traitement des données

En tout état de cause, le boulet rouge tiré par Radio France semblait excessif. Mais l’erreur vient bien de Doctolib à la base. Si la plateforme avait été transparente sur quelles données étaient chiffrées ou non, et pourquoi, aucune enquête à charge ne l’aurait visée. Et la plateforme n’aurait pas du déclencher les grandes manœuvres pour se justifier.

La polémique illustre bien le fait qu’en matière de protection des données, la transparence dans les méthodes utilisées et leurs exceptions est bien l’alpha et l’oméga de la confiance des utilisateurs.