Publicité en cours de chargement...
Perte de données Doctolib, petits rappels RGPD
Selon certains médecins clients de la plateforme, Doctolib leur aurait affirmé que l’incident ne nécessitait pas un signalement à la CNIL étant donné qu’il ne s’agirait pas d’une violation de données personnelle. Je n’ai pas les détails de cet éventuel signalement si effectivement réalisé ou pas, mais un petit rappel semble nécessaire. Ce qui suit est relève strictement de l’interprétation et de l’application des textes, ni plus ni moins.
Les réglementations Informatique et Liberté successives n’ont jamais varié sur ce point : le responsable de traitement doit assurer la sécurité des données, ce terme comprenant bien entendu leur confidentialité, mais aussi leur disponibilité, leur intégrité (et dans certains cas il est fait mention de leur authenticité, mais ce point est souvent raccroché au I ou au C). Toute atteinte au fameux triptyque DIC est donc, au regard de cette réglementation, une violation de données personnelles (confirmé d’ailleurs par la CNIL ici[2]). Le fait de ne considérer que le volet Confidentialité est un biais, assez récent du reste.
En sus, si la violation est susceptible d’avoir un impact important sur les personnes dont les données ont été touchées, il faut prévenir une à une lesdites personnes. A titre d’exemple, il y a quelques années ce sont des RDV (avec les noms et prénoms des patients ainsi que le lieu physique d’hospitalisation sans aucune mention au motif médical) qui avaient fuité chez Doctolib, la CNIL avait à l’époque exigé que les organismes client préviennent un à un les patients concernés (et il ne s’agissait QUE des rendez-vous). Dans le cas présent, on voit mal comment s’exonérer de cette communication avec chaque patient. Selon d’ailleurs que les documents en question aient été aussi stockés dans le DPI local de chaque médecin ou pas, la communication diffère.
Sur le plan financier, comme toute violation de données à caractère personnel, le Responsable de Traitement (RT) encours une amende de 2 % de son CA, les discussions portant sur le fait qu’il s’agisse ou non d’un impondérable indépendant de la volonté du RT. Etant donné qu’il n’y a aucun détail sur « l’incident technique » dont fait mention DOCTOLIB, impossible de juger.
Et pour terminer, cette amende potentielle sera répartie entre le RT et son sous-traitant (ST), selon les modalités du contrat qui les lie. Concernant le stockage des documents qui ont disparu, il me semble que DOCTOLIB n’est que ST (on voit mal comment le détenteur d’un gros disque dur en ligne pourrait être RT) mais bon apparemment tout le monde n’est pas de cet avis. Si tel est bien le cas pourtant, le médecin de ville client de la plateforme est donc redevable d’explication devant la CNIL et devra s’acquitter au moins en partie d’une amende si elle est prononcée.
[1] https://www.journaldugeek.com/2023/05/05/doctolib-perd-des-milliers-de-donnees-medicales-sensibles/
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...