Un incident informatique provoque la perte de milliers de données chez Doctolib

Les faits : 2 300 praticiens concernées, des milliers de données supprimées

Le 3 mai, dans un e-mail adressé aux praticiens, Doctolib décrit avoir subi un  « incident technique », qui a entraîné l’effacement d’observations médicales. Si l’incident a été relativement court (environ 18h), des milliers de patients ont été concernés !

 Capture d’écran du mail reçu après l’incident, posté par @Fraslin sur Twitter

Dans les faits, la plateforme affirme que c’est un incident technique, un bug informatique qui est à l’origine de la non-sauvegarde des informations saisies par les praticiens. 

Si la plateforme affirme que cet incident est désormais résolu, les praticiens n’ont été informés de la survenance de cet incident qu’une semaine plus tard. Ils doivent alors ressaisir l’ensemble des informations effacées : un exercice de mémoire plutôt complexe pour ces praticiens, car ce sont des dizaines de consultations qui ont été impactées. 

In fine, plus de peur que de mal

Selon Doctolib, cette suppression est due à incident purement technique, lié à la mise en place d’une nouvelle fonctionnalité sur l’application. Certes, si les informations ont en effet été perdues définitivement, rien ne semble être tombé entre de mauvaises mains. 

Doctolib précise que l’incident a été rapidement corrigé et que tout est revenu à la normale. 

Praticiens et patients peuvent donc reprogrammer leurs rendez-vous. 

La CNIL a-t-elle été notifiée ? 

Doctolib n’aurait pas notifié la CNIL de cet incident technique. Un comportement dont s’insurgent les praticiens sur les réseaux sociaux. 

 Capture d’écran de @Fraslin sur Twitter

Ce que dit le RGPD : 

Une violation de données ? 

L’article 4 du RGPD définit une violation de données comme  « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

L’incident ici cité s’apparente à une perte de données personnelles et de données sensibles, car elles n’ont pas été sauvegardées. 

Un tel incident, quand bien même aucun vol ou fuite n’est à déplorer, reste une violation de données au sens de l’article 4 du RGPD. 

Une notification obligatoire à l’autorité de contrôle ? 

Cependant, selon l’article 34 du RGPD, la notification à l’autorité de contrôle n’est obligatoire qu’en cas de risque pour les droits et libertés des personnes physiques. 

Le risque était-il ici consacré ? Nous aurions tendance à dire qu’en l’espèce, les données ont simplement été perdues, non sauvegardées. Un tel incident ne semble pas présenter de risque pour les droits et libertés des personnes concernées.

Pour le moment, la CNIL n’a pas donné son avis sur la question. Mais plusieurs praticiens ont annoncé s’être plaints auprès de l’autorité de contrôle.