Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Faille Doctolib – quelle réflexion sur les méta données ?

27 juil. 2020 - 17:00,
Actualité - DSIH
Mardi 21 juillet dernier, Doctolib annonçait officiellement qu’environ 6000 rendez-vous médicaux avaient fuité, victime d’un siphonnage faisant suite à un acte malveillant. Doctolib parle de fuite de « données administratives », affirmant qu’aucune donnée médicale n’est concernée.

Cet évènement de cyber sécurité est intéressant à plusieurs titres, mais commençons tout d’abord par évacuer la question de la responsabilité : à ce stade, rien ne permet d’affirmer qu’il y a eu négligence de Doctolib, il s’agirait d’une API dont une faille aurait été exploitée par des pirates, il faudrait être d’une sacrée mauvaise foi pour faire un amalgame avec Cambridge Analytica, qui relève quant à elle d’une exploitation malveillante organisée par Facebook lui-même. Cela étant sans préjuger bien entendu des conséquences contractuelles et RGPD.

Cela étant, c’est le terme « administratif » qui interroge. Doctolib veut certainement dire par là que des données telles les comptes-rendus ou les diagnostics ne sont pas touchées par la fuite, et que l’information d’un rendez-vous médical (date, heure nom du médecin, spécialité, etc.) relève de la catégorie « administratif ». Sauf que, de façon générale, le corps médical a tendance à considérer que le passage d’un patient dans un service ou une UF (Unité Fonctionnelle) constitue, en soit, une information médicale.

Certes le passage en médecine générale ou chez un kiné ne donne pas, à priori, d’information sur votre état de santé. Mais diriez-vous la même chose du passage d’une jeune fille mineure dans un secteur d’IVG ? D’un individu quelconque à l’Institut Gustave Roussy (centre de lutte contre le cancer) ? D’une femme dans un service notoirement connu pour traiter les violences conjugales ? D’un jeune homme dans un service traitant du VIH ?

C’est tout le problème de la métadonnée, qui quelquefois, et même souvent, donne presque autant d’informations que la donnée elle-même. Récemment il y a eu cette affaire, en Corée du Sud, d’un homme qui s’était déclaré infecté par le COVID sur la version locale de StopCovid : les autorités ont eu énormément de mal à remonter à ses contacts, car l’individu était homosexuel et avait passé le week-end à faire la tournée des bars et boites de nuits gays de Séoul, ce qui donne une information potentielle sur l’orientation sexuelle de ses contacts.

Le Code de la Santé Publique et la doctrine juridique tendent à considérer comme « de nature médicale » toute donnée qui apporte une information sur l’état de santé de la personne. Et cela peut aller très loin : la seule corrélation de votre Indice de Masse Corporelle avec vos nombres de pas journaliers est une information potentiellement médicale. Donc, si la responsabilité pour négligence de Doctolib ne peut pas être engagée à ce stade jusqu’à preuve du contraire, les données qui ont fuité doivent à contrario être considérées comme médicales jusqu’à preuve du contraire.

Les DPO et RSSI auraient tout intérêt à considérer les métadonnées comme à priori aussi sensibles que les données, et cela pose question sur les PIA (ou EIVP: Etude d’Impact sur la Vie Privée), qui ne prennent pas toujours en compte cet aspect des SI.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.