Doctolib veut faire bonne figure : la plateforme de prise de rendez-vous médical en ligne a été récemment la cible de critiques à l’égard de son traitement des données de santé. Une enquête de France Info publiée en début d’année faisait le point sur le sujet et avait déjà poussé Doctolib à clarifier sa politique en matière de protection des données personnelles et de santé.
Pour enfoncer le clou, Doctolib a annoncé la semaine dernière la mise en place d’un dispositif de chiffrement de bout en bout sur sa plateforme, reposant sur la solution de chiffrement Tanker.io. « Jusqu’à présent, les données personnelles de santé des utilisateurs de Doctolib étaient chiffrées à deux niveaux, en transit et au repos. Le chiffrement de bout en bout garantit que les données personnelles de santé des patients qui utilisent Doctolib ne sont accessibles qu’aux patients et à leurs professionnels de santé en toutes circonstances », indique le communiqué. Doctolib précisait au passage que cette solution rendait l’accès aux données impossible pour un tiers « y compris dans les opérations d’assistance ou de maintenance ». L’enquête de France Info avait en effet révélé que Doctolib accédait parfois aux données des praticiens de santé dans le cadre d’opération de maintenance et d’assistance. De fait, si Doctolib se défendait d’accéder aux données de ses utilisateurs, il fallait donc les croire sur parole.
La solution retenue pour la mise en place de ce chiffrement assure que ce ne sera plus le cas. Comme l’explique Clément Ravouna, cofondateur de Tanker.io, « les clés appartiennent aux utilisateurs finaux puisque Tanker utilise un protocole de bout en bout et que les clés sont stockées sur les appareils des utilisateurs, ce qui a le mérite de loger physiquement cette propriété ». En d’autres termes, le chiffrement des données, la génération des clés et des pseudonymes se fait directement sur les appareils des utilisateurs grâce au SDK de Tanker.io embarqué dans l’application Doctolib.
« Avec ce déploiement, Doctolib ne sera pas en mesure d'accéder aux données de santé de ses utilisateurs et prestataires, car Doctolib n'aura pas les clés de chiffrement », nous précise Doctolib. Clément Ravouna de Tanker.io ajoute que seule « l'association de deux utilisateurs, via le protocole Tanker, permettra de déchiffrer les données. Lorsqu'un patient décide de partager une ressource avec un professionnel de santé via Doctolib, de nouvelles clés sont générées, utilisées et partagées via notre solution Tanker ». La solution de Tanker, décrite dans un livre blanc disponible sur leur site, permet une gestion des clés qui se veut invisible pour les utilisateurs et embarquée dans une application déjà existante. Tanker.io avait obtenu en 2017 une certification de sécurité de premier niveau auprès de l’Anssi.
Reste une interrogation, déjà soulevée par l’enquête de France Info : Doctolib ne peut pas vendre des données personnelles de santé, au sens où celles-ci pourraient permettre d’identifier de façon nominative les patients. Mais exploiter ces données anonymisées reste possible légalement. La solution de Tanker.io offre également la possibilité « d’anonymiser » les données via la génération de pseudonymes découplés des données brutes, comme le décrit son livre blanc. Interrogé à ce sujet, le service presse de Doctolib assure que « le modèle économique de Doctolib n'a rien à voir avec l'exploitation des données. Doctolib ne vend pas les données, Doctolib n'utilise pas les données pour faire de la publicité ou vendre des services ».