Le site Mobilsicher.de a découvert, que les recherches effectuées sur la plateforme de réservation Doctolib étaient envoyées à Facebook et Outbrain. Autrement dit, si un utilisateur tapait les mots-clés « cancer de la prostate » dans la barre de recherche, ceux-ci étaient envoyés tels quels aux deux partenaires, accompagnés de l’identifiant marketing respectif (FacebookID ou MarketerID). L’adresse IP était également transmise, de sorte que ces acteurs pouvaient cibler l'utilisateur. Chez Doctolib, le secret médical semble être un concept lointain.
Avec l'aide de Doctolib, les utilisateurs peuvent trouver des médecins et prendre des rendez-vous en quelques clics. Si vous avez pris un rendez-vous chez le médecin par le passé via la plateforme de réservation de médecins Doctolib, vos données ont probablement atterri sur Facebook et la plateforme publicitaire Outbrain. C'est ce que montrent les recherches menées par le portail d'information pour une utilisation sécurisée des téléphones portables Mobilsicher.de. Dans leur exemple, Mobilsicherheit.de étaient à la recherche d'un urologue. En plus de l'information selon laquelle l'utilisateur vient de Doctolib, l'entreprise a également partagé le terme de recherche "urologie", le statut d'assurance de l'utilisateur et le traitement souhaité.
En outre, l'adresse IP des utilisateurs a également été envoyée à Facebook et Outbrain. Grâce à l'adresse IP, il est possible de tirer des conclusions sur l'utilisateur correspondant. Grâce à des services tels que le Virtual Private Network (VPN), les utilisateurs peuvent dissimuler leur propre adresse IP. "Mobilprüf.de" note toutefois ici que les informations transférées ne concernent que la recherche des utilisateurs. « Les informations sur les rendez-vous effectivement réservés n'ont pas été enregistrées dans les cookies », écrit "Mobilprüf.de". Avec toutes ces informations, Facebook peut très facilement cibler les utilisateurs avec les bonnes publicités, en fonction de leur pathologie. Chez Doctolib, le secret médical semble être un concept lointain. L'analyse de la version allemande de la plateforme a eu lieu le 18 juin. Trois jours plus tard, le 21 juin, Doctolib a immédiatement stoppé l'envoi des données à Facebook.
Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs. Une fois que l’entreprise a un nouveau client dans son portefeuille, (un nouveau professionnel de santé), la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair. Doctolib, la plateforme de réservation de médecins, a envoyé des données à Facebook et Outbrain, violant ainsi le secret médical. Chez Doctolib, le secret médical semble être un concept lointain.
Avec l'aide de Doctolib, les utilisateurs peuvent trouver des médecins et prendre des rendez-vous en quelques clics. Si vous avez pris un rendez-vous chez le médecin par le passé via la plateforme de réservation de médecins Doctolib, vos données ont probablement atterri sur Facebook et la plateforme publicitaire Outbrain. C'est ce que montrent les recherches menées par le portail d'information pour une utilisation sécurisée des téléphones portables Mobilsicher.de. Dans leur exemple, les experts de "Mobilsicherheit.de" étaient à la recherche d'un urologue. En plus de l'information selon laquelle l'utilisateur vient de Doctolib, l'entreprise a également partagé le terme de recherche "urologie", le statut d'assurance de l'utilisateur et le traitement souhaité. Dans ce cas : "vasectomie / stérilisation homme".
Avec toutes ces informations, Facebook peut très facilement cibler les utilisateurs avec les bonnes publicités, en fonction de leur pathologie. Chez Doctolib, le secret médical semble être un concept lointain. L'analyse de la version allemande de la plateforme a eu lieu le 18 juin. Trois jours plus tard, le 21 juin, Doctolib a immédiatement stoppé l'envoi des données à Facebook : Les cookies critiqués ont été supprimés du site. Lors d'un nouveau test le lundi 21 juin 2021, ni Facebook ni Outbrain n'ont été contactés.
Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs. Une fois que l’entreprise a un nouveau client dans son portefeuille, (un nouveau professionnel de santé), la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair. Début juin, Doctolib a reçu le "Big Brother Award" négatif de l'association de protection des données Digitalcourage. Selon le raisonnement, Doctolib ne respecte pas l'obligation de confidentialité sur sa plateforme internet et traite les données des utilisateurs et des cabinets médicaux à des fins de marketing commercial selon l'association de protection des données.
Bien que ce dernier aurait du mal à se justifier sur l'envoi des données médicales à Facebook et Outbrain. Pour l'instant, nous ne savons pas vraiment si ces transferts de données ne concernaient que doctolib.de. Il est possible que la même stratégie ait été appliquée en France sur doctolib.fr et sur d'autres marchés européens. Aujourd'hui, Doctolib a probablement stoppé l'envoi des données à Facebook dans toutes les versions de sa plateforme, Doctolib a tout de même répondu à une demande de « Mobilsicherheit.de" et a supprimé les cookies concernés de son service. Dans un nouveau test effectué le lundi 21 juin 2021, ni Facebook ni Outbrain n'ont été contactés », indique Mobilprüf.de.
Selon Mobilsicher.de, il est désormais impossible de trouver une preuve de cette pratique sur le site. Alors que la plateforme est passée de 1 000 consultations par jour à 100 000 depuis le début de la crise sanitaire, cet exemple est typique du risque que peuvent représenter de telles applications pour les données médicales des internautes. Enfin, Doctolib a également été épinglé fin 2020 à l’occasion de la conférence rC3 du Chaos Computer Club. Un chercheur en sécurité avait trouvé une faille permettant d’accéder aux données de plus de 150 millions de rendez-vous.
Source : Mobilsicher.de
Réponse de Doctolib
"Doctolib n’a jamais transféré aucune donnée médicale à Facebook ou Outbrain, ni en France ni en Allemagne. Nous n’utilisons aucun cookie marketing en France. Nous avons décidé de ne pas en utiliser non plus en Allemagne"
Et vous ?
Que pensez-vous de cette pratique de Doctolib ?
Quelles mesures peut-on prendre pour éviter ce genre de dérive ?
Voir aussi :
RGPD : 59 000 atteintes à la protection des données signalées, mais seulement 91 amendes imposées depuis son entrée en vigueur, selon un rapport
La France choisit Google et Microsoft pour la protection des données sensibles, Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté la stratégie nationale pour le cloud
La pandémie accroît l'importance de la protection des données de la vie privée, dû au passage rapide au travail à distance et la nécessité d'utiliser les informations de santé, selon Cisco
Sécurité et protection des données : OVHcloud étend les certifications ISO 27001 et ISO 27701 à l'ensemble de ses offres cloud
Doctolib, la plateforme de réservation de médecins, a envoyé des données à Facebook et Outbrain,
Violant ainsi le secret médical
Doctolib, la plateforme de réservation de médecins, a envoyé des données à Facebook et Outbrain,
Violant ainsi le secret médical
Le , par Bruno
Une erreur dans cette actualité ? Signalez-nous-la !