Chez Doctolib, la confidentialité des données médicales n’est pas toujours de mise. En effectuant une analyse de la version allemande de l’application, le site Mobilsicher.de a découvert, avec stupeur, que les recherches effectuées sur la plateforme de réservation étaient envoyées à Facebook et Outbrain. Autrement dit, si un utilisateur tapait les mots-clés « cancer de la prostate » dans la barre de recherche, ceux-ci étaient envoyés tels quels aux deux partenaires, accompagnés de l’identifiant marketing respectif (FacebookID ou MarketerID). Évidemment, l’adresse IP était également transmise, de sorte que ces acteurs pouvaient assez aisément cibler l’utilisateur. Merci pour le secret médical.
Une réaction immédiate
Cette analyse a été réalisée le 18 juin dernier. Le 21 juin, ces échanges n’existaient plus. Alerté par Mobilsicher.de, Doctolib a promptement rétropédalé et supprimé ces deux mouchards. L’explication donnée par la direction de l’éditeur est assez nébuleuse. Ces deux trackers auraient servi à « mesurer le succès » d’une campagne marketing. En revanche, l’éditeur n’explique pas pourquoi il a fallu alors transmettre autant d’informations sensibles. Il n’est pas clair si ces transferts ne concernaient que doctolib.de ou également doctolib.fr. Nous avons vérifié les échanges HTTP pour la version française et n’avons pas pu trouver de connexions vers Facebook ou Outbrain.
Cette affaire met en évidence le risque que peut constituer ce genre d’applications pour les données médicales des utilisateurs. L’éditeur ne cesse de garantir la protection absolue de ces informations, mais comme on peut le voir, on n’est jamais à l’abri d’une mauvaise surprise. D’ailleurs, l’association allemande Digitalcourage a récemment décerné à Doctolib le prix « Big Brother 2021 » pour la gestion peu transparente des données des patients. Quand l’éditeur accueille un nouveau professionnel de santé comme client, la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair.
A découvrir aussi en vidéo :
Enfin, Doctolib a également été épinglé fin 2020 à l’occasion de la conférence rC3 du Chaos Computer Club. Un chercheur en sécurité avait trouvé une faille triviale permettant d’accéder aux données de plus de 150 millions de rendez-vous (date, documents, nom et spécialité des praticiens, nom, sexe et numéro de téléphone du patient…).
Mise à jour le 25 juin:
Selon un porte-parole de Facebook, le transfert de données médicales vers sa plateforme publicitaire n’est pas autorisé. Le réseau social rejette donc la faute sur Doctolib qui a probablement fait une erreur. « Nous n’autorisons pas ceux qui utilisent nos outils Business à partager des données de santé avec nous. Si des entreprises nous communiquent ces données, même par erreur, notre système de filtrage est conçu pour retirer les données relatives à la santé qu’il détecte avant que celles-ci ne soient stockées dans nos systèmes publicitaires. Nous travaillons avec Doctolib pour garantir la bonne mise en œuvre de nos outils à l’avenir », nous explique Facebook.
Source: Mobilsicher.de
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
