Doctolib, la plateforme de réservation de médecins, a envoyé des données à Facebook et Outbrain,
Violant ainsi le secret médical
Le 2021-06-23 12:17:50, par Bruno, Chroniqueur Actualités
Le site Mobilsicher.de a découvert, que les recherches effectuées sur la plateforme de réservation Doctolib étaient envoyées à Facebook et Outbrain. Autrement dit, si un utilisateur tapait les mots-clés « cancer de la prostate » dans la barre de recherche, ceux-ci étaient envoyés tels quels aux deux partenaires, accompagnés de l’identifiant marketing respectif (FacebookID ou MarketerID). L’adresse IP était également transmise, de sorte que ces acteurs pouvaient cibler l'utilisateur. Chez Doctolib, le secret médical semble être un concept lointain.
Avec l'aide de Doctolib, les utilisateurs peuvent trouver des médecins et prendre des rendez-vous en quelques clics. Si vous avez pris un rendez-vous chez le médecin par le passé via la plateforme de réservation de médecins Doctolib, vos données ont probablement atterri sur Facebook et la plateforme publicitaire Outbrain. C'est ce que montrent les recherches menées par le portail d'information pour une utilisation sécurisée des téléphones portables Mobilsicher.de. Dans leur exemple, Mobilsicherheit.de étaient à la recherche d'un urologue. En plus de l'information selon laquelle l'utilisateur vient de Doctolib, l'entreprise a également partagé le terme de recherche "urologie", le statut d'assurance de l'utilisateur et le traitement souhaité.
En outre, l'adresse IP des utilisateurs a également été envoyée à Facebook et Outbrain. Grâce à l'adresse IP, il est possible de tirer des conclusions sur l'utilisateur correspondant. Grâce à des services tels que le Virtual Private Network (VPN), les utilisateurs peuvent dissimuler leur propre adresse IP. "Mobilprüf.de" note toutefois ici que les informations transférées ne concernent que la recherche des utilisateurs. « Les informations sur les rendez-vous effectivement réservés n'ont pas été enregistrées dans les cookies », écrit "Mobilprüf.de". Avec toutes ces informations, Facebook peut très facilement cibler les utilisateurs avec les bonnes publicités, en fonction de leur pathologie. Chez Doctolib, le secret médical semble être un concept lointain. L'analyse de la version allemande de la plateforme a eu lieu le 18 juin. Trois jours plus tard, le 21 juin, Doctolib a immédiatement stoppé l'envoi des données à Facebook.
Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs. Une fois que l’entreprise a un nouveau client dans son portefeuille, (un nouveau professionnel de santé), la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair. Doctolib, la plateforme de réservation de médecins, a envoyé des données à Facebook et Outbrain, violant ainsi le secret médical. Chez Doctolib, le secret médical semble être un concept lointain.
Avec l'aide de Doctolib, les utilisateurs peuvent trouver des médecins et prendre des rendez-vous en quelques clics. Si vous avez pris un rendez-vous chez le médecin par le passé via la plateforme de réservation de médecins Doctolib, vos données ont probablement atterri sur Facebook et la plateforme publicitaire Outbrain. C'est ce que montrent les recherches menées par le portail d'information pour une utilisation sécurisée des téléphones portables Mobilsicher.de. Dans leur exemple, les experts de "Mobilsicherheit.de" étaient à la recherche d'un urologue. En plus de l'information selon laquelle l'utilisateur vient de Doctolib, l'entreprise a également partagé le terme de recherche "urologie", le statut d'assurance de l'utilisateur et le traitement souhaité. Dans ce cas : "vasectomie / stérilisation homme".
Avec toutes ces informations, Facebook peut très facilement cibler les utilisateurs avec les bonnes publicités, en fonction de leur pathologie. Chez Doctolib, le secret médical semble être un concept lointain. L'analyse de la version allemande de la plateforme a eu lieu le 18 juin. Trois jours plus tard, le 21 juin, Doctolib a immédiatement stoppé l'envoi des données à Facebook : Les cookies critiqués ont été supprimés du site. Lors d'un nouveau test le lundi 21 juin 2021, ni Facebook ni Outbrain n'ont été contactés.
Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs. Une fois que l’entreprise a un nouveau client dans son portefeuille, (un nouveau professionnel de santé), la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair. Début juin, Doctolib a reçu le "Big Brother Award" négatif de l'association de protection des données Digitalcourage. Selon le raisonnement, Doctolib ne respecte pas l'obligation de confidentialité sur sa plateforme internet et traite les données des utilisateurs et des cabinets médicaux à des fins de marketing commercial selon l'association de protection des données.
Bien que ce dernier aurait du mal à se justifier sur l'envoi des données médicales à Facebook et Outbrain. Pour l'instant, nous ne savons pas vraiment si ces transferts de données ne concernaient que doctolib.de. Il est possible que la même stratégie ait été appliquée en France sur doctolib.fr et sur d'autres marchés européens. Aujourd'hui, Doctolib a probablement stoppé l'envoi des données à Facebook dans toutes les versions de sa plateforme, Doctolib a tout de même répondu à une demande de « Mobilsicherheit.de" et a supprimé les cookies concernés de son service. Dans un nouveau test effectué le lundi 21 juin 2021, ni Facebook ni Outbrain n'ont été contactés », indique Mobilprüf.de.
Selon Mobilsicher.de, il est désormais impossible de trouver une preuve de cette pratique sur le site. Alors que la plateforme est passée de 1 000 consultations par jour à 100 000 depuis le début de la crise sanitaire, cet exemple est typique du risque que peuvent représenter de telles applications pour les données médicales des internautes. Enfin, Doctolib a également été épinglé fin 2020 à l’occasion de la conférence rC3 du Chaos Computer Club. Un chercheur en sécurité avait trouvé une faille permettant d’accéder aux données de plus de 150 millions de rendez-vous.
Source : Mobilsicher.de
Réponse de Doctolib
"Doctolib n’a jamais transféré aucune donnée médicale à Facebook ou Outbrain, ni en France ni en Allemagne. Nous n’utilisons aucun cookie marketing en France. Nous avons décidé de ne pas en utiliser non plus en Allemagne"
Et vous ?
Voir aussi :
Avec l'aide de Doctolib, les utilisateurs peuvent trouver des médecins et prendre des rendez-vous en quelques clics. Si vous avez pris un rendez-vous chez le médecin par le passé via la plateforme de réservation de médecins Doctolib, vos données ont probablement atterri sur Facebook et la plateforme publicitaire Outbrain. C'est ce que montrent les recherches menées par le portail d'information pour une utilisation sécurisée des téléphones portables Mobilsicher.de. Dans leur exemple, Mobilsicherheit.de étaient à la recherche d'un urologue. En plus de l'information selon laquelle l'utilisateur vient de Doctolib, l'entreprise a également partagé le terme de recherche "urologie", le statut d'assurance de l'utilisateur et le traitement souhaité.
En outre, l'adresse IP des utilisateurs a également été envoyée à Facebook et Outbrain. Grâce à l'adresse IP, il est possible de tirer des conclusions sur l'utilisateur correspondant. Grâce à des services tels que le Virtual Private Network (VPN), les utilisateurs peuvent dissimuler leur propre adresse IP. "Mobilprüf.de" note toutefois ici que les informations transférées ne concernent que la recherche des utilisateurs. « Les informations sur les rendez-vous effectivement réservés n'ont pas été enregistrées dans les cookies », écrit "Mobilprüf.de". Avec toutes ces informations, Facebook peut très facilement cibler les utilisateurs avec les bonnes publicités, en fonction de leur pathologie. Chez Doctolib, le secret médical semble être un concept lointain. L'analyse de la version allemande de la plateforme a eu lieu le 18 juin. Trois jours plus tard, le 21 juin, Doctolib a immédiatement stoppé l'envoi des données à Facebook.
Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs. Une fois que l’entreprise a un nouveau client dans son portefeuille, (un nouveau professionnel de santé), la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair. Doctolib, la plateforme de réservation de médecins, a envoyé des données à Facebook et Outbrain, violant ainsi le secret médical. Chez Doctolib, le secret médical semble être un concept lointain.
Avec l'aide de Doctolib, les utilisateurs peuvent trouver des médecins et prendre des rendez-vous en quelques clics. Si vous avez pris un rendez-vous chez le médecin par le passé via la plateforme de réservation de médecins Doctolib, vos données ont probablement atterri sur Facebook et la plateforme publicitaire Outbrain. C'est ce que montrent les recherches menées par le portail d'information pour une utilisation sécurisée des téléphones portables Mobilsicher.de. Dans leur exemple, les experts de "Mobilsicherheit.de" étaient à la recherche d'un urologue. En plus de l'information selon laquelle l'utilisateur vient de Doctolib, l'entreprise a également partagé le terme de recherche "urologie", le statut d'assurance de l'utilisateur et le traitement souhaité. Dans ce cas : "vasectomie / stérilisation homme".
Avec toutes ces informations, Facebook peut très facilement cibler les utilisateurs avec les bonnes publicités, en fonction de leur pathologie. Chez Doctolib, le secret médical semble être un concept lointain. L'analyse de la version allemande de la plateforme a eu lieu le 18 juin. Trois jours plus tard, le 21 juin, Doctolib a immédiatement stoppé l'envoi des données à Facebook : Les cookies critiqués ont été supprimés du site. Lors d'un nouveau test le lundi 21 juin 2021, ni Facebook ni Outbrain n'ont été contactés.
Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs. Une fois que l’entreprise a un nouveau client dans son portefeuille, (un nouveau professionnel de santé), la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair. Début juin, Doctolib a reçu le "Big Brother Award" négatif de l'association de protection des données Digitalcourage. Selon le raisonnement, Doctolib ne respecte pas l'obligation de confidentialité sur sa plateforme internet et traite les données des utilisateurs et des cabinets médicaux à des fins de marketing commercial selon l'association de protection des données.
Bien que ce dernier aurait du mal à se justifier sur l'envoi des données médicales à Facebook et Outbrain. Pour l'instant, nous ne savons pas vraiment si ces transferts de données ne concernaient que doctolib.de. Il est possible que la même stratégie ait été appliquée en France sur doctolib.fr et sur d'autres marchés européens. Aujourd'hui, Doctolib a probablement stoppé l'envoi des données à Facebook dans toutes les versions de sa plateforme, Doctolib a tout de même répondu à une demande de « Mobilsicherheit.de" et a supprimé les cookies concernés de son service. Dans un nouveau test effectué le lundi 21 juin 2021, ni Facebook ni Outbrain n'ont été contactés », indique Mobilprüf.de.
Selon Mobilsicher.de, il est désormais impossible de trouver une preuve de cette pratique sur le site. Alors que la plateforme est passée de 1 000 consultations par jour à 100 000 depuis le début de la crise sanitaire, cet exemple est typique du risque que peuvent représenter de telles applications pour les données médicales des internautes. Enfin, Doctolib a également été épinglé fin 2020 à l’occasion de la conférence rC3 du Chaos Computer Club. Un chercheur en sécurité avait trouvé une faille permettant d’accéder aux données de plus de 150 millions de rendez-vous.
Source : Mobilsicher.de
Réponse de Doctolib
"Doctolib n’a jamais transféré aucune donnée médicale à Facebook ou Outbrain, ni en France ni en Allemagne. Nous n’utilisons aucun cookie marketing en France. Nous avons décidé de ne pas en utiliser non plus en Allemagne"
Et vous ?
Voir aussi :
-
marsupialExpert éminentDans ce cas là, le RGPD n'est pas inutile il me semble.le 23/06/2021 à 12:38
-
MingolitoMembre extrêmement actifLeur réponse n'apporte rien, la news explique déjà qu'ils sont revenus en arrière.
Donc le mot "jamais " pour ce qui est de la version allemande est donc probablement faux.
Après c'est normal que leur service marketing publie ce "démenti", pour essayer de rassurer les utilisateurs, c'est le jeux.
En fait Doctolib n'a pas besoin de vendre les données, il font déjà un max de bénéfices avec les médecins : "Pour un médecin libéral, le coût mensuel de l'abonnement à Doctolib s'élève à 129 euros. 39 euros supplémentaires par mois viennent s'ajouter pour bénéficier du service de téléconsultation", ce qui est un cout colossal, parce que le cout de traitement informatique c'est certainement très minime, ils vont donc à terme une fois les investissements remboursés générer une marge énorme, et c'est devenu un quasi monopôle, notamment grâce au gouvernement.
Je pense qu'ils se sont dit pourquoi pas avoir "beurre et l'argent du beurre", ils ont testés la vente de données, mais pas en France, en Allemagne en se disant qu'ils n'y verraient que du feu, mais que nenni. Il se sont fait gauler et ils ont du faire machine arrière.le 23/06/2021 à 15:52 -
AoCannailleExpert confirméDoctolib devrait être un service de l'Assurance Maladie. Je ne comprend pas qu'Ameli ne le propose pas...le 24/06/2021 à 17:47
-
gangsoleilModérateurHello,En lisant entre les lignes, et sans être trop l'avocat du diable, je pense qu'il faut s'arrêter sur ce qu'on appelle une donnée médicale. Est-ce qu'un terme de recherche est une donnée médicale ? Je pense que du point de vue de Doctolib, la réponse est non. Donc en ce sens, ils n'ont jamais transféré de donnée médicale.Doctolib n’a jamais transféré aucune donnée médicale à Facebook ou Outbrain, ni en France ni en Allemagne
Maintenant, est-ce qu'ils ont tranféré des données, j'aurai quand même tendance à croire la version des chercheurs.
Libre à chacun de se faire une idée des pratiques de cette entreprise.le 25/06/2021 à 14:49 -
Au-delà de ça, le choix d'AWS comme hébergeur est assez discutable. Le site fonctionne avec une BDD Postgresql, autant utiliser des serveurs dédiées pour cela. La majorité des clients étant en France, un CDN n'a pas non plus de grande justification.
Reste que ça va coûter très cher en devops à Doctolib si la société souhaite de passer d'AWS maintenant.le 23/06/2021 à 14:38 -
vanquishMembre chevronnéBen mince ... Je n'aurais jamais cru prendre un jour la défense de Doctolib.
Je n'aime pas du tout la situation monopolistique de cette société ou leur démarche commerciale ultra-agressive.
Mais si j'ai vu tous les médecins, avec qui je travaille, s'engouffrer dans le système, c'est bien à cause du prix qui n'a rien de colossal pour eux.
Si sur un cabinet il fait économiser ne serait-ce qu'1/2 secrétaire, les 129€ ne sont rien du tout.
J'ai vu des cabinets licencier des secrétaires, voir s'en passer totalement.
A ce gain s'ajoute celui des rendez-vous que les patients n'oublient plus grâce aux SMS envoyé la veille.
Non le prix actuel n'est absolument pas un soucis.
Mais le jour où il va être remonté (et il le sera), ça va être la douche froide pour certains médecins qui vont s'apercevoir qu'ils sont rentré dans un système plus ou moins captif.
Pour ce qui est de la société elle même, sa volonté d’expansion et de rachat de la concurrence fait que je ne suis pas certain que la société dégage tant de bénéfice que cela pour le moment.
Il y a eu des levées de fonds de 25, puis 36, puis 150 millions d'euros.
Il va en falloir des rdv pour rentabiliser l'investissement.
Ceci dit, je ne suis pas inquiet pour eux, c'est certain.
Doctolib développe son logiciel de gestion de dossiers patients, en ligne.
Les médecins que je connais et qui l'on vu disent que si ce n'est pas parfait, il n'est pas mal du tout.
Pour les médecins cela veux dire, plus de serveur, plus de sauvegarde, plus de prestataire informatique.
Je leur prédit donc un grand succès. Mais cela pose de grandes questions sur cette centralisation privée, des données médicales.le 24/06/2021 à 9:05 -
CEDRIC_DMembre actifDoctolib est une véritable prise d'otage pour les cabinets médicaux
Vous êtes quasiment obligés de souscrire
La majorité des patients vous disent qu'ils n'utilisent que cette application (smartphone) pour prendre rendez-vous
Si votre cabinet n'est pas dessus -> ils vont ailleurs
Il devrait il y avoir une concurrence obligatoire
L'état n'a pas empêché le rachat de mondocteur (qui était le seul vrai concurrent)
ClicRDV racheté par Solocal s'est carrément planté sur le marché du médical -> inutilisable pour les professionnels de santé
L'état a boosté cette entreprise lors du COVID -> prise de rendez-vous pour les vaccinations
Quasiment tous les hôpitaux publics l'imposent aux patients
ça rend des services aux praticiens et aux patients mais je suis révolté de l'absence de concurrence
Et ce soutient de l'état démesuré pour avoir une licorne ça me dégoute
De plus en plus de praticiens se sentent abusé
Les stratégies de monopole finissent souvent mal
Et si ils jouent avec les données de santéle 24/06/2021 à 23:02 -
MingolitoMembre extrêmement actifLa concurrence est 50% moins cher, voir possible d'avoir une solution de réservation avec un produit gratuit.
D'après tes dires les levées de fond c'est pour racheter les concurrents, bref donc le prix est bien trop cher c'est bien ce que je disais.
Je comprends que pour un cabinet qui tourne bien c'est intéressant, comparé à du personnel humain, mais ça ne veux pas dire qu'une fois les investissements remboursés un tarif à presque 200 euros par mois soit justifié pour un cout de traitement informatique qui sera sans doute moins de 5 euros. Encore s'il y avais un support valable pour justifier ce tarif, mais d'après les dires des médecins et des utilisateurs le support est totalement nul, à savoir qu'il y a toujours un énorme tas de problèmes et que le support ne fait rien pour essayer de solutionner les choses.Ces médecins qui passent à l'offensive contre Doctolib
Les avis des utilisateurs sur Doctolib sont désastreux
DOCTOLIB : DES DONNÉES CONCERNANT PLUS DE 6.000 RENDEZ-VOUS MÉDICAUX ONT ÉTÉ DÉROBÉES le 25/06/2021 à 4:12 -
DarkzinusExpert éminent séniorEffectivement, cela devrait être un service public étant donné le monopole effectif ...le 25/06/2021 à 8:21
-
KaradocMembre actifLe chiffrement est une sécurité de l'instant, mais pas pérenne. Une méthode de chiffrement s'affaiblit avec le temps, voire est cassée. On ne sait pas ce qu'Amazon fait des données ni des sauvegardes. On sait, par contre, que la NSA a pris l'habitude de stocker de façon préventive d'immenses masses de données chiffrées pour les déchiffrer dès que possible (que ce soit suite à un affaiblissement de l'algo, ou de façon plus brutale lorsque les processeurs quantiques leur permettront de le faire en masse).Quel est le rapport avec AWS ? Il est possible d'avoir une base de donnée entièrement chiffrée dans le cloud sans qu'ils aient accès aux données.
Donc c'est mieux que rien, c'est sûr, mais ça ne devrait pas être un argument... D'autant qu'il y a des acteurs français qui proposent des services équivalents, comme ATOS.le 30/06/2021 à 15:20