Depuis le début de la Covid-19 et même bien avant, Doctolib est utilisé par des millions de personnes qui entrent leurs informations (très) personnelles tous les jours. Il semblerait que tout ne soit pas rose et que les données des utilisateurs soient utilisées à leur insu.
Des données non chiffrées sur Doctolib
Doctolib est de loin le site numéro 1 en France pour la prise et la gestion de rendez-vous médicaux. Il est possible de choisir parmi de nombreux praticiens, et d'éviter la corvée de tous les appeler un par un pour savoir si un créneau est disponible.
Forcément, la santé est un domaine qui comporte beaucoup d’informations très sensibles, et on se demande si les données que l’on rentre dans le site sont vraiment protégées et non utilisées à des fins commerciales.
Doctolib assure que toutes les données des personnes utilisant le site sont chiffrées de bout en bout. Les données sont utiles pour faire fonctionner un site comme Doctolib. Le principe de données chiffrées est qu’elles sont autorisées à naviguer entre les parties prenantes (ici le client et le praticien), mais elles ne sont pas interceptées par le site hôte (ici Doctolib), qui se contente de les faire circuler.
Or, une récente enquête de la part de Radio France affirme le contraire. En effet, après une inspection assez simple du code source de la page d’un compte utilisateur, pas besoin d’être un expert de l’informatique pour comprendre que l’entreprise et ses salariés ont bel et bien accès aux informations de prise de rendez-vous.
Un manque de précision dans la communication de Doctolib
Concrètement, Doctolib ne fait rien d’illégal. Le problème dans cette histoire, c’est que Doctolib affirmait que l’intégralité des données ne passait jamais à travers leurs employés, ce qui n’est pas le cas.
D’après la loi sur la RGPD, Doctolib n’a pas le droit d’utiliser ces données sans l’accord explicite de l’utilisateur. L’entreprise assure que ces informations ne sont vendues à personne, et qu’elles servent à informer les patients de leur rendez-vous via un rappel par SMS ou email, et de permettre de modifier la date des rendez-vous. Très peu d’employés y auraient accès.
Cette explication a du sens, mais on ne peut pas s’empêcher d’avoir quelques doutes, surtout quand des informations aussi personnelles sont en jeu.
Pendant le pic de l’épidémie, Doctolib a été d’une grande aide pour permettre aux français de se faire vacciner efficacement. Après une levée de fonds de 500 millions d’euros, l’entreprise est devenue la plus grosse startup niveau capital avec un total de 5,1 milliards d’euros.