Publicité en cours de chargement...

Publicité en cours de chargement...

Perte de données Doctolib, petits rappels RGPD

09 mai 2023 - 16:19,
Tribune - Cédric Cartau
La plateforme de RDV médicaux Doctolib a perdu des données médicales[1], en l’occurrence des milliers de données sensibles. Dans un mail envoyé aux professionnels de santé le 3 mai dernier, la plateforme fait mention d’un “incident technique” ayant conduit à l’effacement de certaines observations de suivi, comme les motifs de visite, les comptes-rendus d’examen et les conclusions effectués entre le mercredi 26 avril à 17h40 et le jeudi 27 avril 11h40.    

Selon certains médecins clients de la plateforme, Doctolib leur aurait affirmé que l’incident ne nécessitait pas un signalement à la CNIL étant donné qu’il ne s’agirait pas d’une violation de données personnelle. Je n’ai pas les détails de cet éventuel signalement si effectivement réalisé ou pas, mais un petit rappel semble nécessaire. Ce qui suit est relève strictement de l’interprétation et de l’application des textes, ni plus ni moins.

Les réglementations Informatique et Liberté successives n’ont jamais varié sur ce point : le responsable de traitement doit assurer la sécurité des données, ce terme comprenant bien entendu leur confidentialité, mais aussi leur disponibilité, leur intégrité (et dans certains cas il est fait mention de leur authenticité, mais ce point est souvent raccroché au I ou au C). Toute atteinte au fameux triptyque DIC est donc, au regard de cette réglementation, une violation de données personnelles (confirmé d’ailleurs par la CNIL ici[2]). Le fait de ne considérer que le volet Confidentialité est un biais, assez récent du reste.

En sus, si la violation est susceptible d’avoir un impact important sur les personnes dont les données ont été touchées, il faut prévenir une à une lesdites personnes. A titre d’exemple, il y a quelques années ce sont des RDV (avec les noms et prénoms des patients ainsi que le lieu physique d’hospitalisation sans aucune mention au motif médical) qui avaient fuité chez Doctolib, la CNIL avait à l’époque exigé que les organismes client préviennent un à un les patients concernés (et il ne s’agissait QUE des rendez-vous). Dans le cas présent, on voit mal comment s’exonérer de cette communication avec chaque patient. Selon d’ailleurs que les documents en question aient été aussi stockés dans le DPI local de chaque médecin ou pas, la communication diffère.

Sur le plan financier, comme toute violation de données à caractère personnel, le Responsable de Traitement (RT) encours une amende de 2 % de son CA, les discussions portant sur le fait qu’il s’agisse ou non d’un impondérable indépendant de la volonté du RT. Etant donné qu’il n’y a aucun détail sur « l’incident technique » dont fait mention DOCTOLIB, impossible de juger.

Et pour terminer, cette amende potentielle sera répartie entre le RT et son sous-traitant (ST), selon les modalités du contrat qui les lie. Concernant le stockage des documents qui ont disparu, il me semble que DOCTOLIB n’est que ST (on voit mal comment le détenteur d’un gros disque dur en ligne pourrait être RT) mais bon apparemment tout le monde n’est pas de cet avis. Si tel est bien le cas pourtant, le médecin de ville client de la plateforme est donc redevable d’explication devant la CNIL et devra s’acquitter au moins en partie d’une amende si elle est prononcée.

[1] https://www.journaldugeek.com/2023/05/05/doctolib-perd-des-milliers-de-donnees-medicales-sensibles/

[2] https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-quand-faut-il-notifier-une-violation-de-donnees-la-cnil 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MedGPT : le premier assistant IA médical français, alternative à ChatGPT

MedGPT : le premier assistant IA médical français, alternative à ChatGPT

17 sept. 2025 - 08:48,

Actualité

- DSIH

La startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.