Recevez chaque jour toute l'actualité du numérique

x

Doctolib obtient deux certifications sur la sécurisation des données de santé

Accusé de mal sécuriser les données de santé de ses utilisateurs, Doctolib souhaite faire preuve d'exemplarité. Il a reçu la certification ISO 27001 sur la sécurité des systèmes d'information et celle d'hébergeur de données de santé. L'hébergement des données par AWS était notamment au centre d'une plainte devant le Conseil d'Etat.
Twitter Facebook Linkedin Flipboard Email
×

Doctolib obtient deux certifications sur la sécurisation des données de santé
Doctolib obtient deux certifications sur la sécurisation des données de santé © Alice Vitard

Doctolib a obtenu la certification ISO 27001 sur la sécurité de l'information et celle d'hébergeur de données de santé (HDS), peut-on lire dans un communiqué publié le 17 novembre 2021. C'est l'organisme certificateur BSI qui a délivré ces attestations pour une durée de trois ans. Un audit de surveillance devra être effectué chaque année.

Une priorité pour Doctolib
"La protection des données de santé est une priorité absolue pour Doctolib. Nos équipes travaillent continuellement afin de s’assurer que nous implémentons les bonnes pratiques de sécurité et que les solutions Doctolib sont conformes aux plus hautes exigences réglementaires en matière de protection des données de santé. C'est dans cette optique que Doctolib a décidé de se faire certifier ISO 27001 et Hébergeur de Données de Santé", détaille Gaspard du Jeu, product marketing manager au sein de Doctolib, dans un billet de blog.

La norme ISO 27001 porte sur la sécurité des systèmes d'information. Son obtention démontre que l'entreprise a mis en place "un système de management de la sécurité de l'information efficace", lit-on sur le site de l'Association française de normalisation (Afnor). Elle définit une méthodologie pour identifier "les cyber-menaces", maîtriser les risques associés "aux informations cruciales", mettre en place les mesures de protection appropriées afin d’assurer la confidentialité, la disponibilité et l’intégrité de l’information.

De son côté, l'évaluation d'hébergeur de données de santé résulte d'un audit en deux phases par l'organisme certificateur : ISO 27001 et ISO 20000 sur "le système de gestion de la qualité des services". L’audit inclut également quelques exigences spécifiques à l’hébergement de données de santé, précise l'Agence du numérique en santé.

Doctolib critiqué pour sa gestion des données
La décision de se faire certifier a été prise "en 2020 pour plusieurs raisons", détaille Gaspard du Jeu. La première vise à "pérenniser le développement des services" de Doctolib "tant pour les patients que pour les professionnels". La start-up souhaite également ancrer "durablement l'aspect transversal de la sécurité et du respect de la protection des données de santé à caractère personnel" dans l'entreprise. 

Cette annonce s'inscrit dans un contexte assez tendu pour l'entreprise aux 60 millions d'utilisateurs. En juin 2021, elle a été accusée d'avoir utilisé deux cookies afin de collecter les données de ses utilisateurs allemands, telles que la spécialité de la médecine, le traitement et le secteur (public ou privé) recherché ainsi que l'adresse IP de l'appareil utilisé pour la recherche. Ces dernières étaient ensuite transmises à Facebook et Outbrain, deux géants de la publicité.

En réaction, la licorne assurait n'avoir pas collecté de données de santé avec ces cookies et ajoutait n'avoir "jamais transmis de données médicales à un acteur tiers, que ce soit en France ou en Allemagne". Elle assurait avoir demandé le consentement des utilisateurs, comme l'exige le Règlement général sur la protection des données (RGPD).

L'hébergement des données devant la justice
En France, Doctolib a été accusé de mal protéger les données des utilisateurs car Amazon – en tant qu'hébergeur – et l'entreprise elle-même auraient accès à ces informations, d'après une enquête publiée par Franceinter publiée en mars 2021. Des accusations rejetées par Stanislas Niox-Château, CEO et fondateur de Doctolib, dans un billet de blog.

Le choix d'un fournisseur américain de cloud, en l'espèce Amazon Web Services (AWS), a également été contesté par des associations de médecins et de patients qui ont saisi le Conseil d'Etat. Ils estimaient que les données de santé étaient mal protégées puisqu'elles sont hébergées par Amazon Web Services, qui est soumis, en tant qu'entreprise située aux Etats-Unis, au pouvoir arbitraire des services de renseignements américains.

Le juge administratif a rejeté cette requête. Il a déclaré que les données étaient suffisamment protégées grâce à des avenants au contrat d'hébergement qui instaure une procédure précise en cas de demandes d'accès par une autorité publique. Il notait également que Doctolib avait mis en place d'une procédure de chiffrement, conçu par Tanker, dont seul Atos avait la clé. Cela empêcherait la lecture des données par un tiers, promet Doctolib qui a récemment avalé son concurrent italien

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.