Depuis la crise du Covid 19, la plateforme de prise de rendez-vous médicaux Doctolib, déjà très largement utilisée, a conquis une place quasi hégémonique. Selon les chiffres avancés par l’entreprise, 42,2 millions de patients utilisent Doctolib pour la prise de rendez-vous en ligne. Au plus fort de la pandémie, lors des campagnes de vaccination, elle a été un outil privilégié dans la prise de rendez-vous de par son partenariat avec le ministère de la santé. Elle s’est même retrouvée saturée à plusieurs reprises à cette période.

C’est peu de dire que Doctolib détient donc de nombreuses données de santé. Des données qui ne sont pas toujours suffisamment protégées, ainsi que l’expliquent un certain nombre de chercheurs que nous avons pu interroger. Les informations que nous avons pu recueillir à ce sujet inquiètent d’autant plus que désormais, en 2022, le système de crédit social à la chinoise n’est plus un sujet tabou pour certains dirigeants européens.

Pistage non anonyme

Comme l’explique le développeur David Libeau, chercheur dans les domaines des données, Doctolib réalise un tracking, c’est-à-dire un suivi de toutes les activités des utilisateurs sur la plateforme, la moindre requête étant enregistrée et envoyée aux serveurs de Doctolib. “J’ai réussi à voir quelles données étaient envoyées et à déchiffrer ce qu’il y avait écrit et je me suis rendu compte que lorsqu’on clique sur un menu déroulant ou sur quoi que ce soit d’autre c’est récupéré par le site puis envoyé à Doctolib. Chaque interaction est envoyée”. Ainsi, si vous êtes sur la page d’un praticien et qu’il y a plusieurs rendez-vous possibles (cardiologie, vaccination) l’identifiant de ce qui aura été sélectionné sera envoyé sans même que le rendez-vous ait été effectivement pris.

https://twitter.com/DavidLibeau/status/1557309882902118400?s=20&t=h3ECzuASqsZE Zt0WUXirLA

Un pistage qui, selon le chercheur est non anonyme et pose donc problème quant à la confidentialité des données.”J’ai regardé les données envoyées et j’ai vu que les identifiants étaient envoyés ainsi que l’adresse IP, en clair, c’est-à-dire non chiffrés.” Le chercheur explique que lorsqu’une requête est envoyée au serveur de Doctolib c’est comme lorsqu’on envoie une lettre à la poste, sur laquelle figure notre adresse, en l’occurence ici l’adresse IP, un identifiant qui permet de localiser les utilisateurs sur internet et de les identifier.

« Doctolib est trop bavard »

Pour le chercheur Rémy Grünblatt, chercheur à l’Institut national de recherche en sciences et technologies du numérique (INRIA): “Doctolib est trop bavard parce qu’il donne trop d’informations à des tiers qui ne devraient pas avoir ces informations sur l’état de santé des utilisateurs”. En effet Doctolib fait appel à une myriade de prestataires comme Cloudinary, Amazon Web Service, Cloudflare ou bien encore Sentry. “Doctolib fait appel à Cloudinary pour héberger les images et le contenu de ces images, ce qui dévoile des choses sur les recherches des utilisateurs de Doctolib et donc sur leur état de santé”, précise Rémy Grünblatt.

Lorsqu’un patient utilise l’application Doctolib, il va chercher les images sur Cloudinary, qui va savoir quelle adresse IP, donc quelle personne, aura chargé quelles images et ces images peuvent contenir des informations de santé très confidentielles. Par exemple, le chercheur de l’INRIA a mis en évidence que des images indiquent pôle de chirurgie viscérale oncologie.

« Ça donne une information sur le fait que la personne a cherché quelque chose en lien avec le cancer.” Ainsi, Cloudinary va pouvoir savoir quelle adresse IP a fait quelle recherche. Cette adresse IP n’est pas comme un nom et un prénom mais elle peut être recoupée avec d’autres éléments pour retrouver le nom et le prénom. Le fonctionnement de Doctolib permet de faire ce rapprochement par des tiers.

Si Doctolib hébergeait ses propres images sur des serveurs de Doctolib ce ne serait pas possible sauf si Doctolib le voulait, or actuellement ça peut être possible même si Doctolib ne le veut pas . “Parce que c’est un tiers. Donc toute la confiance qu’on met dans Doctolib, il faudrait la mettre aussi dans ce tiers-là. Or Cloudinary est une entreprise privée aux Etats-Unis”, ajoute le chercheur.

D’autres sous-traitants américains

Il en va de même pour d’autres sous-traitants comme Amazon web services (AWS). « J’ai pu observer des fuites des URL chargées vers Amazon directement, on va pouvoir déduire un ensemble de choses de ces métadonnées. Il y a un proverbe, dans notre milieu, qui dit que les métadonnées sont des données”.

Elles permettent de retracer beaucoup de choses.“Elles vont pouvoir dire que telle personne a visité tel site à telle heure. Par exemple, si je cherche une clinique de dépistage du sida et une pharmacie ensuite, il est probable que ce soit visible, même si on ne connaît pas le contenu de la conversation. Une métadonnée ça va aussi être avec qui on parle, pas le contenu de la conversation bien sûr, mais ça donne quand même beaucoup de détails. De plus Amazon a accès aux données en clair : c’est chiffré avec des certificats d’Amazon et le destinataire est Amazon ».

Ce qu’explique par là Rémy Grünblatt, c’est que toutes les données sont chiffrées en transit, or pour que Cloudinary ou Amazon ne puissent pas avoir accès au contenu il faudrait un chiffrement de bout en bout. Ce qui demande plus de travail et n’est pas encore le cas de Doctolib, où le chiffrement est réalisé au repos et en transit, mais pas de bout en bout. En clair: AWS, Cloudflare , Sentry ont accès aux données de façon non chiffrée. Un constat d’inquiétude partagé par l’association InterHop qui a rédigé sur son site internet une note explicative. 

Des données non chiffrées 

Comme l’explique le collectif InterHop, qui n’a néanmoins pas souhaité répondre aux questions de QG jugeant le sujet “trop sensible” : “Les données au repos (Storage) et en transit (https) sont bien chiffrées. Encore une fois, le problème ne vient pas du chiffrement en transit mais de l’App Server où les données sont accessibles en clair alors qu’elles sont hébergées chez Amazon.”

“La CNIL doit agir”    

De ce fait, des entreprises américaines ont accès à des données de santé personnelles et confidentielles des Français. Sans oublier de préciser que les Etats-Unis ne sont pas jugés comme un pays fiable en matière de transfert de données, ainsi que le rappelle la CNIL:  “L’arrêt de la cour de justice de l’union européenne (CJUE) implique de réexaminer la légalité de certains transferts de données personnelles hors de l’Union européenne, et notamment de transferts à destination des États-Unis.” 

Un arrêt majeur de la cour de justice de l’Union européenne dit “Privacy Shield” invalide le régime de transfert de données entre l’Union européenne et les États-Unis. En d’autres termes, les Etats-Unis ne sont pas un pays de confiance pour la confidentialité des données, ce qui soulève beaucoup de questions quant aux entreprises américaines sous-traitantes de Doctolib. 

Pour David Libeau, l’acteur qui peut intervenir est la Commission nationale de l’informatique et des libertés (CNIL): “c’est elle qui peut aller voir ce qui se passe côté serveur chez Doctolib et enquêter”. “J’ai déposé des plaintes depuis maintenant 1 an et demi et celles-ci sont restées sans réponse.” Une pétition a aussi été signée par plus de 32.500 personnes pour inciter la CNIL à investiguer sur un service largement utilisé par la population.

Bessma Sikouk

Joint par la rédaction de QG, Doctolib n’a pas souhaité répondre à nos questions