Perte de données Doctolib, petits rappels RGPD

Selon certains médecins clients de la plateforme, Doctolib leur aurait affirmé que l’incident ne nécessitait pas un signalement à la CNIL étant donné qu’il ne s’agirait pas d’une violation de données personnelle. Je n’ai pas les détails de cet éventuel signalement si effectivement réalisé ou pas, mais un petit rappel semble nécessaire. Ce qui suit est relève strictement de l’interprétation et de l’application des textes, ni plus ni moins.

Les réglementations Informatique et Liberté successives n’ont jamais varié sur ce point : le responsable de traitement doit assurer la sécurité des données, ce terme comprenant bien entendu leur confidentialité, mais aussi leur disponibilité, leur intégrité (et dans certains cas il est fait mention de leur authenticité, mais ce point est souvent raccroché au I ou au C). Toute atteinte au fameux triptyque DIC est donc, au regard de cette réglementation, une violation de données personnelles (confirmé d’ailleurs par la CNIL ici[2]). Le fait de ne considérer que le volet Confidentialité est un biais, assez récent du reste.

En sus, si la violation est susceptible d’avoir un impact important sur les personnes dont les données ont été touchées, il faut prévenir une à une lesdites personnes. A titre d’exemple, il y a quelques années ce sont des RDV (avec les noms et prénoms des patients ainsi que le lieu physique d’hospitalisation sans aucune mention au motif médical) qui avaient fuité chez Doctolib, la CNIL avait à l’époque exigé que les organismes client préviennent un à un les patients concernés (et il ne s’agissait QUE des rendez-vous). Dans le cas présent, on voit mal comment s’exonérer de cette communication avec chaque patient. Selon d’ailleurs que les documents en question aient été aussi stockés dans le DPI local de chaque médecin ou pas, la communication diffère.

Sur le plan financier, comme toute violation de données à caractère personnel, le Responsable de Traitement (RT) encours une amende de 2 % de son CA, les discussions portant sur le fait qu’il s’agisse ou non d’un impondérable indépendant de la volonté du RT. Etant donné qu’il n’y a aucun détail sur « l’incident technique » dont fait mention DOCTOLIB, impossible de juger.

Et pour terminer, cette amende potentielle sera répartie entre le RT et son sous-traitant (ST), selon les modalités du contrat qui les lie. Concernant le stockage des documents qui ont disparu, il me semble que DOCTOLIB n’est que ST (on voit mal comment le détenteur d’un gros disque dur en ligne pourrait être RT) mais bon apparemment tout le monde n’est pas de cet avis. Si tel est bien le cas pourtant, le médecin de ville client de la plateforme est donc redevable d’explication devant la CNIL et devra s’acquitter au moins en partie d’une amende si elle est prononcée.

[1] https://www.journaldugeek.com/2023/05/05/doctolib-perd-des-milliers-de-donnees-medicales-sensibles/

[2] https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-quand-faut-il-notifier-une-violation-de-donnees-la-cnil 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.