Les sites internet privés permettant de prendre des rendez-vous de santé en ligne se développent depuis le début des années 2010. La plus développée, Doctolib, dégage rapidement des fonds importants, levant 5 millions d’euros en 2014, puis 18 millions d’euros en 2015. Mais la crise du coronavirus a fait exploser l’utilisation de ces plateformes par les Français. Cette utilisation croissante est pourtant loin d’être sans risques.
Des plateformes à l’efficacité incontestable
L’essor des plateformes privées de prise de rendez-vous de santé en ligne est facilement explicable : les utilisateurs peuvent prendre rendez-vous depuis chez eux ou sur leurs téléphones. Ils ont un rôle plus actif dans le choix du jour et de l’horaire de leur rendez-vous, et sont rappelés automatiquement la veille de leur consultation. Il n’est pas étonnant alors de voir l’utilisation de ces plateformes monter en flèche depuis 2013. La gestion de l’organisation de la vaccination en France s’est faite majoritairement grâce à ces partenaires privés, en particulier Doctolib. Il est évident pour tous que les services publics n’étaient pas prêts à orchestrer une vaccination massive des Français avec une telle efficacité et rapidité. Cet usage massif continue aujourd’hui notamment avec l’organisation des tests, notamment par la plateforme Doctolib qui comptabilise en mars 2021 plus de 20 millions de visiteurs uniques, ou d’autres plateformes comme Francetest.
Une utilisation massive problématique
Malgré leur praticité indéniable, ces plateformes soulèvent immédiatement des questions sur l’utilisation des données inévitablement partagées par les utilisateurs pour prendre ces rendez-vous. Les travaux du RGPD avaient parmi leurs objectifs principaux la protection des données personnelles, et donc en particulier des données se santé. Ces plateformes posent deux principaux problèmes : le partage des données de santé avec des sociétés privées, et le partage des données de santé sur internet. Il existe heureusement des législations nationales pour encadrer l’utilisation des données de santé. L’article 1111-8 du Code de la Santé Publique, en vigueur depuis la loi du 4 mars 2002, prévoit un agrément obligatoire pour les hébergeurs de ces données de santé à caractère personnel.
Une liste des hébergeurs agréés, comportant une quarantaine d’hébergeurs, est disponible sur le site du gouvernement.
Néanmoins, même dans le respect de ces règles, il n’est pas garanti que les données soient hébergées de manière sûre. On a pu se rendre compte récemment que mêmes les plus grandes plateformes comme Facebook sont susceptibles de fuites énormes.
Les lacunes de Francetest
Dans sa décision du 14 octobre 2021, la CNIL met en demeure la société Francetest. Elle lui force donc à mettre en œuvre les moyens nécessaires pour corriger les défauts rendant leur système de protection des données insuffisamment sécurisé. La société a un délai de deux mois pour justifier sa mise en conformité.
La CNIL a été avertie à la suite d’une fuite de données en août 2021. Cette fuite concernait quasiment 400 000 personnes, rendant public leurs noms, numéros de téléphones, adresse e-mail, résultats de tests et numéro de sécurité sociale.
L’autorité administrative indépendante a alors mené une enquête et constaté un manquement à l’article 32 du RGPD qui demande la garantie d’un niveau de sécurité nécessaire pour les données personnelles. L’article 9 de ce même règlement indique que les données de santé, par leur sensibilité, demande une vigueur encore plus grande dans leur protection.
Les manquements sont nombreux et parfois édifiants pour une société dont l’activité entière prête au traitement de données de santé. L’hébergeur ne fait pas partie de la liste d’hébergeurs agréés précédemment mentionnée. C’est pourtant la base pour toute société privée souhaitant organiser des rendez-vous en ligne. De même, l’ensemble des procédés d’authentification et cryptologiques sont lacunaires.
Une alarme pour des problèmes d’ampleur bien plus grande
La fuite des données de la société Francetest n’a concerné « que » environ 400 000 personnes. Des mots de passe n’ont pas été divulgués et il paraît peu probable que des utilisateurs puissent justifier d’un préjudice pour attaquer la société en justice. Néanmoins, Francetest n’est qu’un acteur mineur de cette révolution numérique.
En comprenant qu’une société d’un seul associé, sans employé, peut voir autant de données être divulguées sans punition ordre qu’un devoir de mise en conformité, on vient à se poser notamment deux questions. Le manque de rigueur dans la punition de ces comportements permet-il vraiment de garantir une garantie de sécurité des données de santé ? Quelles seraient les conséquences d’une telle fuite pour un des géants de la prise de rendez-vous en ligne ?
Le Conseil d’Etat avait validé, le 12 mars 2021, le partenariat du ministère de la santé avec Doctolib pour l’organisation de la vaccination, malgré l’usage de la filiale américaine Amazon Web Services.
La CNIL comprend les enjeux considérables et a fait de la sécurité des données de santé une de ses priorités pour l’année 2021.
Sources:
Doctolib lève 18 millions d’euros, Le Figaro, 13 Octobre 2015
Article 1111-8 du Code de la Santé Publique
https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-agrees
Décision de la CNIL du 14 Octobre 2021
Avis de Décision de la CNIL du 14 Octobre 2021
CNIL : Cybersécurité, données de santé, cookies : les thématiques prioritaires de contrôle en 2021