Nos données de santé sont-elles vraiment mal protégées chez Doctolib ?

Doctolib fait face à une nouvelle polémique : une de ses mesures de protection des données, le chiffrement de bout en bout, n'est pas appliqué aux listes de rendez-vous pris par les patients, comme l'a relevé Franceinfo. Si cette exception, assumée par startup française peut être légitimement discutée, elle ne suffit pas à remettre en cause la politique globale de protection des données de Doctolib.

Publié le 21-05-2022 par François Manens

Petit tourbillon vendredi 20 mai autour de la star de la French Tech Doctolib. Un article de Franceinfo, labellisé "enquête", pointe du doigt un écueil de l'entreprise, à mi-chemin entre des questions de sécurité et de communication.

On y apprend qu'un standard de sécurité déployé par Doctolib mi-2020, le chiffrement de bout en bout, n'est volontairement pas appliqué à la liste des rendez-vous pris par les patients. En conséquence, ces données pourraient être consultées par des employés de la startup. Mais Doctolib affirme qu'il contrôle de façon stricte les conditions de ces accès.

Visiblement inquiétée par les conséquences d'une mésinterprétation de l'article sur sa réputation, l'entreprise, par ailleurs abondamment citée par Franceinfo, s'est fendue d'une suite de messages sur Twitter. Elle rappelle notamment que même en dehors de la question technique du chiffrement de bout en bout, "toutes les données de [ses] utilisateurs sont protégées. Elles sont toutes chiffrées au repos et en transit."

Equilibre difficile entre sécurité et fonctionnalités

Cette affaire expose un bon exemple des difficultés que les entreprises de logiciels peuvent avoir pour placer le curseur de la cybersécurité et pour communiquer sur le sujet. Dans un monde où le risque zéro n'existe pas, il y aura toujours des scénarios dans lesquels les données des utilisateurs de Doctolib seront exposées.

L'entreprise doit donc agir de sorte à ce que ces scénarios soient les moins nombreux et les plus complexes

Voir la suite...