Publicité en cours de chargement...
Faille Doctolib – quelle réflexion sur les méta données ?
Cet évènement de cyber sécurité est intéressant à plusieurs titres, mais commençons tout d’abord par évacuer la question de la responsabilité : à ce stade, rien ne permet d’affirmer qu’il y a eu négligence de Doctolib, il s’agirait d’une API dont une faille aurait été exploitée par des pirates, il faudrait être d’une sacrée mauvaise foi pour faire un amalgame avec Cambridge Analytica, qui relève quant à elle d’une exploitation malveillante organisée par Facebook lui-même. Cela étant sans préjuger bien entendu des conséquences contractuelles et RGPD.
Cela étant, c’est le terme « administratif » qui interroge. Doctolib veut certainement dire par là que des données telles les comptes-rendus ou les diagnostics ne sont pas touchées par la fuite, et que l’information d’un rendez-vous médical (date, heure nom du médecin, spécialité, etc.) relève de la catégorie « administratif ». Sauf que, de façon générale, le corps médical a tendance à considérer que le passage d’un patient dans un service ou une UF (Unité Fonctionnelle) constitue, en soit, une information médicale.
Certes le passage en médecine générale ou chez un kiné ne donne pas, à priori, d’information sur votre état de santé. Mais diriez-vous la même chose du passage d’une jeune fille mineure dans un secteur d’IVG ? D’un individu quelconque à l’Institut Gustave Roussy (centre de lutte contre le cancer) ? D’une femme dans un service notoirement connu pour traiter les violences conjugales ? D’un jeune homme dans un service traitant du VIH ?
C’est tout le problème de la métadonnée, qui quelquefois, et même souvent, donne presque autant d’informations que la donnée elle-même. Récemment il y a eu cette affaire, en Corée du Sud, d’un homme qui s’était déclaré infecté par le COVID sur la version locale de StopCovid : les autorités ont eu énormément de mal à remonter à ses contacts, car l’individu était homosexuel et avait passé le week-end à faire la tournée des bars et boites de nuits gays de Séoul, ce qui donne une information potentielle sur l’orientation sexuelle de ses contacts.
Le Code de la Santé Publique et la doctrine juridique tendent à considérer comme « de nature médicale » toute donnée qui apporte une information sur l’état de santé de la personne. Et cela peut aller très loin : la seule corrélation de votre Indice de Masse Corporelle avec vos nombres de pas journaliers est une information potentiellement médicale. Donc, si la responsabilité pour négligence de Doctolib ne peut pas être engagée à ce stade jusqu’à preuve du contraire, les données qui ont fuité doivent à contrario être considérées comme médicales jusqu’à preuve du contraire.
Les DPO et RSSI auraient tout intérêt à considérer les métadonnées comme à priori aussi sensibles que les données, et cela pose question sur les PIA (ou EIVP: Etude d’Impact sur la Vie Privée), qui ne prennent pas toujours en compte cet aspect des SI.
Avez-vous apprécié ce contenu ?
A lire également.

Lancement d’un appel à manifestation d’intérêt sur les DMN
27 oct. 2025 - 22:17,
Actualité
- Damien Dubois, DSIHStation [e]-Santé a lancé son appel à manifestation d’intérêt sur les dispositifs médicaux numériques dans le cadre du plan Innovation Santé 2030. Il est ouvert jusqu’au 1er décembre.

« Apporter de la simplicité sans être simplistes », la voie d’Axigate Link
27 oct. 2025 - 17:43,
Actualité
- DSIHAvec une offre de solutions numériques pluridisciplinaire, Axigate Link est un acteur qui compte dans l’Europe de l’e-santé. Il couvre les besoins de l’ensemble de l’écosystème du soin et fluidifie les liens entre professionnels de santé pour une prise en charge plus pertinente des patients. Grégoir...

La transformation numérique en santé : un défi humain avant tout
27 oct. 2025 - 11:44,
Actualité
- Rédaction, DSIHDans les hôpitaux et établissements de santé, la réussite d’un projet numérique ne dépend pas seulement des solutions techniques mises en place. Elle repose d’abord sur un facteur souvent sous-estimé : la conduite du changement. C’est le message clé que portera la formation « Conduite du changement ...

Horizon Santé 360 : des promesses concrètes de l’innovation en santé
27 oct. 2025 - 11:04,
Actualité
- Pauline Nicolas, DSIHAprès une matinée centrée sur la souveraineté et les perspectives stratégiques du groupe La Poste Santé & Autonomie et de ses expertises, l’après-midi d’Horizon Santé 360 a laissé place à la mise en pratique avec ateliers riches et inspirants où l’innovation a pu se déployer tout autant qu’être soum...
