Le célèbre site de prise de rendez-vous médicale, Doctolib, a été victime d’un acte de piraterie informatique, qui, fort heureusement, a été stoppé par ses équipes techniques, néanmoins pas assez tôt pour protéger les données personnelles de certains utilisateurs qui ont ainsi été dérobées par les auteurs de l’attaque.
Doctolib a annoncé dans un communiqué, le 23 juillet, être victime d’un vol de données concernant des informations administratives de presque 6128 rendez-vous médicaux. Le spécialiste de la santé précise que ses équipes ont réussi à stopper cet acte malveillant, dont la nature et l’origine n’ont pas été précisées.
NOM, PRÉNOM, ÂGE, SEXE…
Concernant les informations volées, c’est d’abord le nom, le prénom, l’âge, le sexe, le numéro de téléphone et l’adresse mail du patient, mais aussi les dates des rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous.
Doctolib affirme qu’aucune information médicale n’a été dérobée. Néanmoins, on peut dire qu’avec l’accès à la spécialité médicale concernée par la prise de rendez-vous, cela vous donne de précieuses informations sur l’état de santé du patient, d’autant plus si cette donnée est croisée par le nom et le prénom.
1. Mardi 21 juillet, notre équipe de sécurité a détecté et stoppé un acte malveillant contre Doctolib visant des informations administratives de rendez-vous. Aucun rendez-vous pris sur https://t.co/83E0LFU1vz ni aucune donnée médicale n’est concernée. https://t.co/6qK6Gi8R04 pic.twitter.com/S6R0jihnrT
— Doctolib (@doctolib) July 23, 2020
Par ailleurs, Doctolib a déclaré que ” rien ne (…) permet de conclure à ce jour à une utilisation de ces informations administratives“.
Elle explique que cet accès illégal ne concerne pas directement sa plateforme de prise de rendez-vous mais plutôt via les consultations médicales réservées sur des “logiciels tiers connectés à Doctolib“, sans plus de précision.
LA CNIL PRÉVENUE, UNE PLAINTE DÉPOSÉE
Comme exigé par la loi, Doctolib a saisi la Commission Nationale de l’Informatique et des Libertés (la CNIL) pour la prévenir de cette attaque informatique. En plus d’une plainte qui a été déposée pour éclaircir les circonstances de cet incident qui reste inquiétant pour la protection des données personnelles, d’autant plus pour un acteur français de la santé qui a déjà été accusé de mal protéger ces informations.
Rappelons qu’en octobre 2019, Franceinfo avait publié une enquête dans laquelle elle dénonçait les pratiques de Doctolib pour leur gestion des données, comme l’envoi de SMS pour rappeler l’approche d’une consultation à des patients qui ne disposaient pas de compte sur la plateforme et qui avaient pris rendez-vous avec leur praticien de santé par téléphone.
Informations personnelles mais non médicales
Parmi les données collectées sur les 6128 comptes impactés, on trouve des numéros de téléphone, des adresses électroniques ou encore les noms et spécialités des professionnels de santé. fort heureusement, les mots de passe des comptes Doctolib, motifs de rendez-vous et informations médicales ont été épargnés par le piratage, assure l’entreprise.
Rappelons que Doctolib, est une entreprise franco-allemande, qui est aussi l’une des rares licornes européennes, valorisées à plus d’un milliard d’euros. La plateforme a connu une croissance sans précédent dans le cadre de l’épidémie de Covid-19, puisque en un mois, et dans les premières semaines du confinement, les téléconsultations via ce service ont été multipliées par 18.
