Faille Doctolib – quelle réflexion sur les méta données ?

Cet évènement de cyber sécurité est intéressant à plusieurs titres, mais commençons tout d’abord par évacuer la question de la responsabilité : à ce stade, rien ne permet d’affirmer qu’il y a eu négligence de Doctolib, il s’agirait d’une API dont une faille aurait été exploitée par des pirates, il faudrait être d’une sacrée mauvaise foi pour faire un amalgame avec Cambridge Analytica, qui relève quant à elle d’une exploitation malveillante organisée par Facebook lui-même. Cela étant sans préjuger bien entendu des conséquences contractuelles et RGPD.

Cela étant, c’est le terme « administratif » qui interroge. Doctolib veut certainement dire par là que des données telles les comptes-rendus ou les diagnostics ne sont pas touchées par la fuite, et que l’information d’un rendez-vous médical (date, heure nom du médecin, spécialité, etc.) relève de la catégorie « administratif ». Sauf que, de façon générale, le corps médical a tendance à considérer que le passage d’un patient dans un service ou une UF (Unité Fonctionnelle) constitue, en soit, une information médicale.

Certes le passage en médecine générale ou chez un kiné ne donne pas, à priori, d’information sur votre état de santé. Mais diriez-vous la même chose du passage d’une jeune fille mineure dans un secteur d’IVG ? D’un individu quelconque à l’Institut Gustave Roussy (centre de lutte contre le cancer) ? D’une femme dans un service notoirement connu pour traiter les violences conjugales ? D’un jeune homme dans un service traitant du VIH ?

C’est tout le problème de la métadonnée, qui quelquefois, et même souvent, donne presque autant d’informations que la donnée elle-même. Récemment il y a eu cette affaire, en Corée du Sud, d’un homme qui s’était déclaré infecté par le COVID sur la version locale de StopCovid : les autorités ont eu énormément de mal à remonter à ses contacts, car l’individu était homosexuel et avait passé le week-end à faire la tournée des bars et boites de nuits gays de Séoul, ce qui donne une information potentielle sur l’orientation sexuelle de ses contacts.

Le Code de la Santé Publique et la doctrine juridique tendent à considérer comme « de nature médicale » toute donnée qui apporte une information sur l’état de santé de la personne. Et cela peut aller très loin : la seule corrélation de votre Indice de Masse Corporelle avec vos nombres de pas journaliers est une information potentiellement médicale. Donc, si la responsabilité pour négligence de Doctolib ne peut pas être engagée à ce stade jusqu’à preuve du contraire, les données qui ont fuité doivent à contrario être considérées comme médicales jusqu’à preuve du contraire.

Les DPO et RSSI auraient tout intérêt à considérer les métadonnées comme à priori aussi sensibles que les données, et cela pose question sur les PIA (ou EIVP: Etude d’Impact sur la Vie Privée), qui ne prennent pas toujours en compte cet aspect des SI.