En plus d’être en situation de quasi-monopole, Doctolib collecte une quantité importante de données sensibles. Le patient doit tout d’abord donner, lors de son inscription, son identité, sa date de naissance, son adresse mail et son téléphone. Il doit également indiquer le « motif de la consultation », c’est-à-dire la raison pour laquelle il fait partie des personnes prioritaires pour la vaccination.

Le patient doit ainsi préciser s’il a plus de 75 ans, s’il est un professionnel ou s’il est atteint d’une des « pathologies à haut risque » ouvrant droit à un vaccin, comme les cancers, les maladies rénales ou certaines maladies rares.

Le recours pointe que, de surcroît, Doctolib dispose déjà d’une importante quantité d’informations sur de nombreux patients, collectées à l’occasion de ses activités habituelles. Ainsi, il y a de fortes chances que des patients souhaitant se faire vacciner disposent déjà chez Doctolib d’un « historique » résumant leurs rendez-vous pris via la plateforme.

Rien que ça

Concernant le recours aux services d’Amazon, Doctolib affirme avoir, depuis mai 2019, « publiquement recours à AWS comme partenaire pour l’hébergement sécurisé des données de santé ». La société souligne le fait que la société américaine héberge ses données « en France et en Allemagne ». Elle a par ailleurs été certifiée « hébergeur de données de santé » et « est à ce jour l’un des tout premiers hébergeurs du monde, notamment en matière de protection des données ».

« Doctolib a par ailleurs mis en place un chiffrement systématique de l’ensemble des données hébergées chez AWS. Les clefs de chiffrement et déchiffrement sont quant à elles hébergées en France chez un hébergeur français », insiste la société.

On le saura assez vite au prochain leaks. Je n'aime pas du tout ce POF avec Doctolib, encore moins quand tu le découvre via le secrétariat d'un praticien qui t'envoie ça par sms.