Doctolib : vol de données personnelles sur plus de 6000 rendez-vous



Jeudi 23 juillet 2020, l’entreprise Doctolib a reconnu avoir été victime le 21 juillet d'un « acte malveillant » ayant permis à des pirates informatiques « d'accéder illégalement aux informations administratives de 6 128 rendez-vous ». Doctolib précise que cet accès illégal ne concerne pas les rendez-vous pris sur son site ou sur son logiciel de gestion de cabinet « mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib ».

 

Doctolib assure qu’aucune « information relative au dossier médical des patients » n’a été dérobée, précisant que le vol de données porte uniquement sur « le nom, le prénom, le sexe, le numéro de téléphone et l'adresse mail du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous ».

 

Doctolib parle de fuite de « données administratives ». « Doctolib veut certainement dire par là que des données telles les comptes-rendus ou les diagnostics ne sont pas touchées par la fuite, et que l’information d’un rendez-vous médical (date, heure nom du médecin, spécialité, etc.) relève de la catégorie « administratif ». Pourtant, « de façon générale, le corps médical a tendance à considérer que le passage d’un patient dans un service ou une Unité Fonctionnelle constitue, en soi, une information médicale ».

 

Vous pouvez estimer que « le passage en médecine générale ou chez un kiné ne donne pas, a priori, d’information sur votre état de santé » mais « diriez-vous la même chose du passage d’une jeune fille mineure dans un secteur d’IVG ? D’un individu quelconque à l’Institut Gustave Roussy (centre de lutte contre le cancer) ? D’une femme dans un service notoirement connu pour traiter les violences conjugales ? D’un jeune homme dans un service traitant du VIH ? »

 

Pour le Code de Santé Publique et la doctrine juridique, est  « 'de nature médicale' toute donnée qui apporte une information sur l’état de santé de la personne ». Donc, « jusqu’à preuve du contraire (…) les données qui ont fuité doivent (…) être considérées comme médicales ».

 

Pour aller plus loin :

Les données de santé : cible des cybercriminels en temps de pandémie

Protection des données : la justice européenne invalide le transfert de données vers les États-Unis

Données de santé : près de 400 incidents des SI en 2019, 66 mises en danger potentielles pour les patients

Partage des données et absence de recueil de consentement : Doctissimo fait l'objet d'une plainte auprès de la CNIL

Données de santé, liberté, état de droit : jusqu'où aller ?

Recherche et données de santé à l’heure du Big Data

 


Sources: 

Ouest France/AFP (23/07/2020)

Hospimedia (23/07/2020)

DSIH (27/07/2020)