🛡️ DOCTOLIB et les vols de données

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Messages : 20616
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

🛡️ DOCTOLIB et les vols de données

par Parisien_entraide »

2021-06-23_115847.png

Le sujet a été abordé principalement dans les vol de données
Au vues de l'actualité de ce mois de mai 2023, il est bon je pense de tout regrouper pour bien mettre en avant ce qu'est Doctolib (Qu'il ne faut pas confondre avec Doctissimo viewtopic.php?t=72685 ) et les dangers liés


Rappel :
Doctolib est une entreprise franco-allemande, qui développe une plateforme de e-santé. Cette solution permet aux patients de prendre des rendez-vous en ligne avec des médecins généralistes ou spécialistes, ou de profiter de téléconsultations vidéo.

En 2020, Doctolib est leader européen de l’e-santé avec 60 millions de visites de patients par mois et 135 000 utilisateurs parmi les praticiens. La plateforme connaît un immense succès.

Dans le contexte de la pandémie de COVID-19 et du confinement, Doctolib s’est hissé parmi les trois services de téléconsultation les plus utilisés dans le monde avec Teladoc aux États-Unis et WeDoctor en Chine.

Au lieu de 1000 consultations en ligne par jour avant la crise, la plateforme est passée à plus de 100 000 par jour. Cette explosion de popularité est liée au fait que Doctolib ait offert son service gratuitement aux médecins français et allemands pour faire face au coronavirus, afin de soulager les services d’urgence.

En 2019, l’entreprise franco-allemande a levé 150 millions d’euros auprès de General Atlantic, Accel, Eurazeo, Kernel, Bpifrance, et d’autres investisseurs anonymes. Avec une capitalisation boursière à plus d’un milliard de dollars, elle fait désormais partie des licornes françaises aux côtés de Blablacar, Critero et Vente-Privée.

En un an, Doctolib a doublé son effectif pour passer de 750 à 1500 employés. Elle investit massivement dans ses deux centres situés à Paris et Berlin, en recrutant de nombreux développeurs et ingénieurs.


______________________

PETIT RAPPEL CONCERNANT DOCTISSIMO ET DOCTOLIB (ce ne sont pas les mêmes et il n'y a pas de lien entre eux)


DOCTISSIMO du business non déclaré sans le consentement des internautes

https://siecledigital.fr/2020/07/05/doc ... t-du-rgpd/

Doctissimo, une entreprise dans le domaine de la santé détenue par le groupe TF1. Le site de santé français qui cumule plus de 60 millions de visiteurs chaque mois est accusé de faire du business avec plusieurs données issues de sa plateforme, sans le consentement des internautes.

https://www.01net.com/actualites/la-cni ... 42332.html
Doctissimo « n’a pas de base légale pour le traitement des données personnelles, car les conditions d’un consentement valide ne sont pas remplies ; ne respecte pas les principes […] de transparence, d’équité, de légalité, de limitation des finalités, de minimisation des données, d’intégrité et de confidentialité ; ne respecte pas ses obligations en termes de protection des données par conception, par défaut […] et de sécurité de traitement ; ne respecte pas la loi en ce qui concerne l’utilisation de cookies. »



________________________

En Novembre 2020

DOCTOLIB : Victime d'actes malveillants


Doctolib a été victime d'un acte malveillant, qui a permis d’accéder illégalement aux informations administratives de 6 128 rendez-vous.

Doctolib précise qu'aucun mot de passe n'a été piraté, et qu'aucune donnée médicale n'a pu être exploitée.

Parmi les informations concernées, on retrouve le nom, le prénom, le sexe, le numéro de téléphone et l’adresse e-mail du patient, sans oublier la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous en question.


Doctolib précise également que cette attaque a été réalisée sur des rendez-vous pris via des logiciels tiers, utilisés par certains professionnels de santé, et qui sont connectés à Doctolib.

Cet accès illégal ne concerne pas les rendez-vous pris sur www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib, mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib ; aucune donnée médicale n’a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n’a été concerné ; aucun mot de passe n’a pu être lu ;

Le groupe annonce avoir déposé une plainte, et fait le nécessaire auprès de la CNIL. Rappelons que Doctolib collabore avec 135 000 professionnels et 3 000 établissements de santé, et que la plateforme enregistre chaque mois plus de 60 millions de visites de patients.

Sur Doctolib
https://www.francetvinfo.fr/sante/profe ... 47979.html

"En janvier dernier, un tweet faisant la promotion de Doctolib apparaît sur le compte de l'ASIP, un service du ministère de la Santé. C'est le tollé du côté des médecins. Le tweet est rapidement retiré, mais il fait craindre aux professionnels le manque de neutralité du ministère. Le fait que Doctolib ait débauché un ancien attaché de presse du ministère de la Santé, devenu son responsable communication et relations institutionnelles, n'est pas fait pour les rassurer."
(...)
Enfin, la question des données de santé reste un sujet d’inquiétude. Doctolib collecte les données personnelles des patients, mais aussi le nom des médecins qu'ils consultent et parfois, le motif de consultation
(...)
Doctolib protège ces informations en les confiant à trois hébergeurs différents. "Toutes les données sont propriété des patients et des praticiens, et elles sont chiffrées sur tout leur parcours", assure Stanislas Niox-Château.


Les données personnelles des utilisateurs ne sont pas détenues par l’entreprise.
Elles sont stockées sur les serveurs des entreprises d’hébergement AZ Network et Coreye, avec l’accord du gouvernement français et de la CNIL (Commission Nationale de l’Informatique et des Libertés).



Reste que si un jour, la start-up venait à passer sous giron américain, le RGPD entrerait en conflit avec le CLOUD Act, une loi américaine beaucoup plus laxiste sur l'usage des données"

En Israel, pour avoir droit au vaccin rapidement, il y a eu un échange avec les données de 15 millions de personnes
Cela donne à réfléchir
...



Faux mail de Doctolib

https://cyberguerre.numerama.com/8203-c ... rvenu.html


D’après Doctolib. le compte de la médecin n’a pas été piraté. En revanche, les pirates auraient mis la main sur le compte d’un de ses patients

A noter que le groupe derrière cette arnaque, est derrière le hack de la boutique Boboco et DPD, spécialiste de la livraison de colis.




Conseil : Initialement, pour initier votre fiche, lors d'une première utilisation à ce service, lors d'une prise de RDV par ex, il vous est demandé votre identité, adresse, avec numéro de tph et adresse mail


Dans cette prise de renseignements il faut savoir que l'adresse mail n'est pas obligatoire


En SMS à la fin du rappel de RDV il est indiqué
Infos à lire et gestion du RDV, cliquez ici (avec un lien en raccourci )
qui amène sur le site doctolib.fr en "mode anonyme", et une appli à télécharger

RDV doctolib.jpg



Edit du 01/03/2021 : Finalement les inquiétudes liées au "giron américain" se confirment (le lien ci dessous évoque également les données de santé en hébergement du Health Data Hub, chez Microsoft)

https://www.numerama.com/tech/692317-po ... mique.html

"La problématique tient en une phrase : Doctolib passe par l’entreprise américaine Amazon Web Services pour héberger ses activités, alors même que la société française joue un rôle central dans l’activité des centres de vaccination (deux autres sociétés françaises sont aussi impliquées, Maiia et Keldoc)."


Edit du 05/10/2021

Complément intéressant et qui confirme certains points
https://www.lebigdata.fr/doctolib-tout-savoir


______________


JUIN 2021


DOCTOLIB et les données médicales


Là il ne s'agit pas de vol de données (du moins par le fait d'un tiers) mais de transfert de données médicales

Pour rappel :

Doctolib collabore avec 135 000 professionnels et 3 000 établissements de santé
La plateforme enregistre chaque mois plus de 60 millions de visites de patients.

Les inquiétudes liées au "giron américain" se confirment (le lien ci dessous évoque également les données de santé en hébergement du Health Data Hub, chez Microsoft)

"La problématique tient en une phrase : Doctolib passe par l’entreprise américaine Amazon Web Services pour héberger ses activités, alors même que la société française joue un rôle central dans l’activité des centres de vaccination (deux autres sociétés françaises sont aussi impliquées, Maiia et Keldoc)."

https://www.numerama.com/tech/692317-po ... mique.html


Ce que dit Doctolib :

« Pour DOCTOLIB, la sécurité et la confidentialité des données personnelles de ses utilisateurs sont une priorité absolue. Par conséquent, DOCTOLIB s'engage à respecter toutes les réglementations allemandes et européennes en matière de protection des données personnelles. DOCTOLIB adhère aux règles professionnelles des médecins et des professionnels de santé édictées par les chambres et associations respectives. »


Voila pour la vitrine (1)

Se rappeler que le marché des données médicales est estimé en Europe à 400 milliards d'euros
Vu l'estimation et la manne que cela représente, les stés sont prêtes à tout, quitte à mentir (les amendes étant ridicules)
C'est pour cela aussi que les hackers s'y intéressent



Comme l'indique le site Allemand, source de l'info

"Vous cherchez un rendez-vous chez le médecin avec « Doctolib » ces derniers temps ?
Il est fort possible que les sociétés Facebook et Outbrain le sachent déjà. Même avec des questions sensibles telles que les conseils d'incontinence de l'urologue ou la consultation des filles chez le gynécologue. "


La version allemande de Doctolib intégrait des mouchards qui transmettaient tous les mots-clés saisis par les utilisateurs.

Chez Doctolib, la confidentialité des données médicales n’est pas toujours de mise.
En effectuant une analyse de la version allemande de l’application, le site Mobilsicher.de a découvert, avec stupeur, que les recherches effectuées sur la plateforme de réservation étaient envoyées à Facebook et Outbrain.

Extrait de https://mobilsicher.de/ratgeber/verstoe ... d-outbrain
-------------------------------------

Lors du test, nous nous sommes connectés à Doctolib, avons recherché un urologue et indiqué "consultation d'un homme de stérilisation par vasectomie" comme motif de réservation. Nous avons également sélectionné un médecin, demandé un rendez-vous et spécifié "assuré privé" comme statut d'assurance.

Le dernier lien via lequel cette demande a été effectuée ressemblait à ceci dans le test :

Code : Tout sélectionner

https://tr.outbrain.com/unifiedPixel? marketerId = 0077195aa0d6c59afbe8f9690e36deb48a & obApiVersion = 1.1 & obtpVersion = 1.4.1 & name = PAGE_VIEW et dl = https% 3A% 2F% 2F www.doctolib.de % 2F Urologie % 2Fberlin% 2Freimar-Domnitz% 2Fbooking% 2Favailabilities% 3FinsuranceEventsEnabled% 3Dtrue% 26 insuranceSector % 3 D privé %26isNewPatient%3Dtrue%26isNewPatientBlocked%3Dfalse%26 motifKey %3D Vorgespr%25C3%25A4ch %2520 Vasektomie %2520%2528 Stérilisation %2520 Mann %2529-1336 %26placeId%3Dpractice-156231%26specialityId%3D1336&optOut=true&bust=021040211195470526 
Emballé dans le lien de demande, nous voyons les informations suivantes:

- un marketerID d'Outbrain
- que le lien vient de doctolib.de
- le mot de recherche urologie
- sous "secteur d'assurance = privé", il est noté que nous prétendons être assurés en privé
- et enfin le traitement souhaité, "motiveKey = entretien préalable vasectomie/stérilisation homme".

La demande à Facebook contient les mêmes informations, uniquement avec l'identifiant Facebook initialement attribué.

En dehors de cela, les deux services reçoivent naturellement aussi leur propre adresse IP. Les informations transmises peuvent donc difficilement être considérées comme anonymes.
-------------------------------

Autrement dit, si un utilisateur tapait les mots-clés « cancer de la prostate » dans la barre de recherche, ceux-ci étaient envoyés tels quels aux deux partenaires, accompagnés de l’identifiant marketing respectif (FacebookID ou MarketerID). Évidemment, l’adresse IP était également transmise, de sorte que ces acteurs pouvaient assez aisément cibler l'utilisateur. Merci pour le secret médical.


Depuis la "découverte" , DoctoLib a rétropédalé, mais la raison de ce transfert n’est pas très claire.


Une réaction immédiate

Cette analyse a été réalisée le 18 juin dernier.
Le 21 juin, ces échanges n’existaient plus.

Alerté par Mobilsicher.de, Doctolib a donc promptement rétropédalé et supprimé ces deux mouchards.

L’explication donnée par la direction de l’éditeur est assez nébuleuse. Ces deux trackers auraient servi à « mesurer le succès » d’une campagne marketing.

En revanche, l’éditeur n’explique pas pourquoi il a fallu alors transmettre autant d’informations sensibles.

Il n’est pas clair si ces transferts ne concernaient que doctolib.de ou également doctolib.fr. Nous avons vérifié les échanges HTTP pour la version française et n’avons pas pu trouver de connexions vers Facebook ou Outbrain.

Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs.

L’éditeur ne cesse de garantir la protection absolue de ces informations, mais comme on peut le voir, on n’est jamais à l’abri d’une mauvaise surprise.

D’ailleurs, l’association allemande Digitalcourage a récemment décerné à Doctolib le prix « Big Brother 2021 » pour la gestion peu transparente des données des patients.
Quand l’éditeur accueille un nouveau professionnel de santé comme client, la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair.



QU'EN EST IL DE GOOGLE ? (via Android)

https://www.zeit.de/digital/datenschutz ... ntendaten

dans un article daté du 23 juin 2021 à propos de Doctolib ZEIT.DE souligne que Google recevait également des informations du service.
Cela a été confirmé

Lors de notre test du vendredi 18 juin 2021, l'application Android a contacté le service publicitaire de Google et transmis les informations concernant le médecin sur lequel nous avions cliqué :

Code : Tout sélectionner

https://googleads.g.doubleclick.net/pagead/viewthroughconversion/953811499/?random=1623920547973&cv=9&fst=1623920547973&num=1&bg=ffffff&guid=ON&resp=GooglemKTybQhCsO&eid=2505059651&u_h=732&u_w=412&u_ah=732&u_aw=412&u_cd=24&u_his=5&u_tz=120&u_java=false&u_nplug=0&u_nmime=0&gtm=2oa690&sendb=1&ig=1&data=event%3Dgtag.config&frm=0&url=https%3A%2F%2Fwww.doctolib.de%2F frauenarzt %2Fhalle-saale%2F heidi-pia-schmidt &tiba=Heidi-Pia%20Schmidt%2C%20Frauenarzt%20%2F%20Gyn%C3%A4kologe%20in%20 Halle %20 (Saale) &hn=www.googleadservices.com&async=1&rfmt=3&fmt=4
Étant donné que le système d'exploitation Android transfère naturellement beaucoup de données vers Google, nous avons d'abord négligé ces données dans notre évaluation du test du 18 juin 2021. Lorsque nous l'avons testé à nouveau le 23 juin 2021, nous ne pouvions plus observer le comportement décrit.

Doctolib utilise toujours les services Google, dont Firebase Crashlytics (analyse de crash), Firebase Installations (comptabilise les installations) et Google Maps, si vous pouvez afficher les médecins à proximité.
Google saura que vous utilisez l'application Doctolib et quand.
Cependant, Google le découvrira dès que vous téléchargerez l'application sur le Play Store. Nous n'avons pas pu observer une transmission de processus de recherche ou d'autres événements d'utilisation.

----------------------

LES REACTIONS

Facebook nous a contactés et a fait une déclaration au sujet de notre enquête.

Un porte-parole de Facebook : « Les utilisateurs de nos outils commerciaux ne sont pas autorisés à partager des données de santé personnelles avec nous.
Si des entreprises partagent ces données avec nous par inadvertance, nos mécanismes de filtrage sont conçus de manière à pouvoir reconnaître les informations relatives à la santé et supprimer les des données reconnues avant qu'elles ne soient stockées dans nos systèmes de publicité.
Nous sommes en contact avec Doctolib pour assurer la bonne mise en œuvre de nos outils à l'avenir.
" Les données sensibles provenant de Doctolib avaient donc été interceptées et filtrées par les systèmes de Facebook avant la publication de notre rapport.



Le Ministère de Santé de Berlin à répondu à notre demande.

Lorsqu'on lui a demandé si le consentement pour le comportement décrit du service est considéré comme suffisant et si l'on en avait connaissance, le service de presse écrit :

« Nous avons la confirmation de Doctolib que toutes les applications sont exploitées conformément au RGPD.

Une analyse exacte de ce cas particulier n'a pas été réalisée.
Lorsqu'on lui a demandé si le site Web ou l'application avaient fait l'objet d'un contrôle technique préalable : « Un contrôle technique plus approfondi de tous les aspects de la sécurité et de la protection des données n'a pas pu être effectué à l'époque et, compte tenu des documents et déclarations présentés, il Il n'y avait pas de raison impérieuse de le faire.
Cela devrait être le cas. Si l'occasion se présente, le département sénatorial de la Santé, des Soins infirmiers et de l'Égalité prendra les mesures nécessaires. »





Pour rappel :

À la mi-2020, un ensemble de données de 150 millions de rendez-vous a été librement accessible aux personnes non autorisées sur Internet. Dans certains cas, les heures de bureau remontent à 1990.
Les membres du Chaos Computer Club ont divulgué ces données et informations sur la faille de sécurité de manière anonyme.


Sources :

https://www.01net.com/actualites/doctol ... 44923.html
https://www.zeit.de/digital/datenschutz ... entendaten
https://mobilsicher.de/ratgeber/verstoe ... d-outbrain

A lire

(1) https://bigbrotherawards.de/2021/gesundheit-doctolib

______


Edit du 21/08/2022

En effet à partir du 31 aout prochain, Doctolib va récolter un très grand nombre de données censées être "anonymes" et vous ne pouvez rien y faire
La présence de l'âge, sexe, ville, profession permettent la ré-identification
Il faut se rappeler que l'anonymisation est un leurre
https://www.malekal.com/limites-anonymisation-donnees/

Ces données ne sont pas censées être anonymes, la colonne de gauche s'intitule "Pourquoi les données à caractère personnel sont-elles utilisées", et on vous précise que c'est 1. pour des statistiques d'utilisation et 2. pour ensuite les anonymiser


Et le RGPD ? L'anonymisation est un traitement, les traitements sur les données anonymisées ne sont donc... plus considérées comme des données personnelles, le RGPD ne s’applique pas et c'est donc hors de son périmètre


En plus il faut savoir que le règlement général sur la protection des données (RGPD) n'impose pas, par exemple, aux administrations d'anonymiser les documents qu'elles détiennent.
L'anonymisation n'est qu'une solution parmi d'autres pour pouvoir exploiter des données personnelles dans le respect des droits et libertés des personnes (à ne pas confondre avec la pseudonymisation)
Source : https://www.leto.legal/guides/rgpd-les- ... 20(alias).



Du reste Doctolib indique pouvoir supprimer les données "à la résiliation du compte" alors que les données sont censées être anonymes donc plus liées à un compte... Cela veut tout dire

2023-05-18_100931.jpg


------------

Doctolib envoie toutes ses données aux USA, cela on le savait voir l'article consacré sur ce sujet :
viewtopic.php?p=512110#p512110

Extraits de divers tweet :


MAIS ...le pire est à venir (voir image)


En effet à partir du 31 aout prochain, Doctolib va récolter un très grand nombre de données censées être "anonymes" et vous ne pouvez rien y faire
La présence de l'âge, sexe, ville, profession permettent la ré-identification
Il faut se rappeler que l'anonymisation est un leurre
https://www.malekal.com/limites-anonymisation-donnees/
https://linc.cnil.fr/fr/wereuat-locatio ... -practice

Ce sur quoi la récolte de données peut déboucher https://www.politico.com/news/2022/08/0 ... e-00048988




______________




Du même auteur https://nitter.42l.fr/DavidLibeau/statu ... 47255040#m




Le directeur de #Doctolib a publié début 2020 sur https://medium.com/doctolib/sur-doctoli ... 559cd32536… une charte à destination des patients contenant 10 engagements.

Fin 2021, cette charte a disparu au profit d'autres engagements.
https://media.doctolib.com/image/upload ... 1222..pdf

Les engagements à jour


charte 1doctolibo.jpg

Code : Tout sélectionner

- Pas de changement notable sur le premier engagement qui concerne le respect des textes de loi en vigueur. L'ancien engagement 1 "...
- Les engagements 2 et 3 sont transformés en un engagement reformulé. 
- Pour l'engagement 4, ça se corse. Je pense que l'engagement sur la récupération et la suppression "à tout moment" a été transformé par celui sur la vérification à tout moment des paramètres de son compte. 
- Sur l'engagement 5, il y une disparition de la notion d'exclusivité avec le "ne servent qu’à deux choses" ⚠️ et la rédaction du nouvel engagement est beaucoup plus générique. 
- Problème sur l'engagement 6 puisque la nouvelle rédaction ne mentionne plus que les "cookies tiers à des fins publicitaire" alors qu'initialement Doctolibe indiquait ne pas utiliser les données personnelles de santé pour "faire de la publicité ou vendre des services". 

Les deux engagements suivants sur l'interdiction de la vente de données et l'hébergement sont similaires. 

- L'engagement 9 a totalement été supprimé. ⚠️ Celui-ci garantissait que "Seuls votre professionnel de santé et vous-mêmes pouvez accéder à vos données personnelles de santé. Personne chez Doctolib ne peut accéder à ces données [sauf maintenance avec accord praticien] […]
- Et l'engagement 10 est repris avec plus de détails et une formulation différente.

La nouvelle série d'engagements ajoute en revanche trois nouveaux engagements… si on peut vraiment parler d'engagements car déjà les deux premiers sont surtout de la communication/marketing. 3. "Nous collaborons a...4. "La confidentialité...
- Le dernier est un ajout plutôt positif même si c'est simplement l'application du RGPD sur la durée de conservation des données. 
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20616
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Doctolib et les vols de données

par Parisien_entraide »

EN RESUME


Extrait de : https://www.lebigdata.fr/doctolib-tout-savoir

Outre les fuites de données évoquées précédemment :


Doctolib ne chiffre pas les données de bout en bout

Peut-on vraiment faire confiance à Doctolib pour héberger nos données de santé ?

En théorie, la plateforme promet le chiffrement de ces informations sensibles pour assurer leur sécurité.

En s’inscrivant, les utilisateurs doivent fournir leurs coordonnées.
Par ailleurs, Doctolib garde en mémoire des informations comme les médecins consultés, la fréquence des rendez-vous ou même les motifs des rendez-vous.

Or, en menant l’enquête, France Inter a découvert que ces données stockées sur les serveurs du Cloud AWS ne sont pas réellement chiffrées. En effectuant une requête pour lire les données telles qu’elles sont stockées sur le serveur, les développeurs se sont aperçus qu’elles étaient en clair.

Pour plus de sécurité, les experts estiment qu’il serait nécessaire de procéder au chiffrement jusqu’à ce que les données soient transmises à l’ordinateur de l’utilisateur.

Contacté suite à cette enquête, le PDG de Doctolig, Stanislas Niox-Château estime qu’il n’y a aucun danger et que AWS ne peut accéder aux données en clair. Selon lui, une clé de chiffrement est générée et traitée par Atos et cette clé n’est accessible à AWS ni en transit ni au repos…




Doctolib et AWS : le ministère de la Santé devant le Conseil d’État

Le choix de Doctolib comme plateforme de prise de rendez-vous pour la vaccination COVID-19 fait polémique. Pour cause, la plateforme franco-allemande héberge ses services sur le Cloud d’Amazon Web Services (AWS).

Or, en tant que fournisseur de Cloud américain, Amazon est soumis au Cloud Act. Cette loi autorise les autorités américaines à accéder aux informations stockées sur les serveurs des entreprises nationales. Et ce, même s’il s’agit d’informations concernant des Européens.

Une plainte a donc été déposée par plusieurs collectifs et associations de professionnels de la santé. Il s’agit d’une requête en référé liberté pour «atteinte grave et manifestement illégale au droit à la protection des données à caractère personnel»

Le ministère devra justifier son choix devant le Conseil d’État. Les plaignants demandent l’annulation de ce partenariat entre le gouvernement et Doctolib pour les inscriptions au vaccin COVID-19.

Par le passé,dans le cadre du Health Data Hub, le choix de fournisseurs de Cloud américains avait déjà été remis en question. La CNIL avait demandé au gouvernement de choisir un autre fournisseur que Microsoft, et le Conseil d’État avait admis l’existence d’un risque en matière de protection des données.

L’avocate qui défendra ce recours, Me Juliette Alibert, estime que « la lutte contre la Covid ne peut pas se faire à tout prix « . Il est essentiel que les données des citoyens européens soient protégées de l’oeil des autorités américaines.

Rappelons néanmoins que AWS s’engage à respecter toutes les règlementations françaises et européennes, telles que le RGPD. Le géant de Seattle a d’ailleurs reçu la certification d’hébergeur de données de santé à caractère personnel par l’Agence du numérique en santé.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20616
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Doctolib et les vols de données

par Parisien_entraide »

2023-05-18_115231.jpg

Là il ne s'agit pas d'un vol de donnée MAIS d'une perte de données


On peut noter là l'attitude désinvolte de Doctolib

- L'incident a été rendu public après une semaine, un délai bien trop tardif selon les professionnels.
- Pour DoctoLib une perte de donnée ne nécessitait pas le fait d'effectuer un signalement à la CNIL


Sources :
https://www.dsih.fr/article/5113/perte- ... -rgpd.html
https://www.journaldugeek.com/2023/05/0 ... sensibles/
https://www.lequotidiendumedecin.fr/lib ... uvegardees


Copier coller de DSIH

La plateforme de RDV médicaux Doctolib a perdu des données médicales, en l’occurrence des milliers de données sensibles.

Dans un mail envoyé aux professionnels de santé le 3 mai dernier, la plateforme fait mention d’un “incident technique” ayant conduit à l’effacement de certaines observations de suivi, comme les motifs de visite, les comptes-rendus d’examen et les conclusions effectués entre le mercredi 26 avril à 17h40 et le jeudi 27 avril 11h40.

2023-05-18_115639.jpg

Selon certains médecins clients de la plateforme, Doctolib leur aurait affirmé que l’incident ne nécessitait pas un signalement à la CNIL étant donné qu’il ne s’agirait pas d’une violation de données personnelle.
Je n’ai pas les détails de cet éventuel signalement si effectivement réalisé ou pas, mais un petit rappel semble nécessaire. Ce qui suit est relève strictement de l’interprétation et de l’application des textes, ni plus ni moins.

Les réglementations Informatique et Liberté successives n’ont jamais varié sur ce point : le responsable de traitement doit assurer la sécurité des données, ce terme comprenant bien entendu leur confidentialité, mais aussi leur disponibilité, leur intégrité (et dans certains cas il est fait mention de leur authenticité, mais ce point est souvent raccroché au I ou au C). Toute atteinte au fameux triptyque DIC est donc, au regard de cette réglementation, une violation de données personnelles (confirmé d’ailleurs par la CNIL ici[2]). Le fait de ne considérer que le volet Confidentialité est un biais, assez récent du reste.

https://www.cnil.fr/fr/cnil-direct/ques ... es-la-cnil

En sus, si la violation est susceptible d’avoir un impact important sur les personnes dont les données ont été touchées, il faut prévenir une à une lesdites personnes.

A titre d’exemple, il y a quelques années ce sont des RDV (avec les noms et prénoms des patients ainsi que le lieu physique d’hospitalisation sans aucune mention au motif médical) qui avaient fuité chez Doctolib, la CNIL avait à l’époque exigé que les organismes client préviennent un à un les patients concernés (et il ne s’agissait QUE des rendez-vous).

Dans le cas présent, on voit mal comment s’exonérer de cette communication avec chaque patient.
Selon d’ailleurs que les documents en question aient été aussi stockés dans le DPI local de chaque médecin ou pas, la communication diffère.

Sur le plan financier, comme toute violation de données à caractère personnel, le Responsable de Traitement (RT) encours une amende de 2 % de son CA, les discussions portant sur le fait qu’il s’agisse ou non d’un impondérable indépendant de la volonté du RT. Etant donné qu’il n’y a aucun détail sur « l’incident technique » dont fait mention DOCTOLIB, impossible de juger.

Et pour terminer, cette amende potentielle sera répartie entre le RT et son sous-traitant (ST), selon les modalités du contrat qui les lie. Concernant le stockage des documents qui ont disparu, il me semble que DOCTOLIB n’est que ST (on voit mal comment le détenteur d’un gros disque dur en ligne pourrait être RT) mais bon apparemment tout le monde n’est pas de cet avis. Si tel est bien le cas pourtant, le médecin de ville client de la plateforme est donc redevable d’explication devant la CNIL et devra s’acquitter au moins en partie d’une amende si elle est prononcée.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20616
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: DOCTOLIB et les vols de données

par Parisien_entraide »

Doctolib a lié un partenariat avec IQVIA "pour enrichir sa base de données de prospects".
2023-06-06_132554.jpg

Si vous ne savez pas ce qu'est IQVIA voici tous les sujets du forum où il en est fait état, directement ou indirectement (avec ou sans Doctolib)

L'émission de Cash Investigation
viewtopic.php?p=510836#p510836

Pass sanitaire : la poudre aux yeux du pseudonymat, des données médicales en clair
viewtopic.php?p=511564#p511564

Meta (nouveau nom de Facebook) menace de fermer Facebook et Instagram
viewtopic.php?p=521071#p521071

Cloud Act : Les USA peuvent mettre la main sur les données détenues en Europe
viewtopic.php?t=71133
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20616
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: DOCTOLIB et les vols de données

par Parisien_entraide »

01f7e60c-doctolib-exploite-les-donnees-personnelles0.jpg


Doctolib exploite vos données de santé pour former ses IA

Les utilisateurs reçoivent une notification pour pouvoir exploiter leurs données. qui vise à
« soutenir la recherche et le développement de produits innovants ».
En guise de produits innovant, il s’agit d’entraîner les modèles d’intelligence artificielle (IA) de l’entreprise.

Il est indiqué
« Nous veillons à obtenir le consentement libre et éclairé des utilisateurs avant d’utiliser certaines de leurs données pour entraîner nos modèles. À la différence d’autres acteurs du numérique, nous offrons à nos utilisateurs la liberté de choisir en toute transparence »

MAIS comme l'indique David Libeau sur X
https://x.com/DavidLibeau/status/1822218646787178952
La politique de confidentialité indique que même en ne donnant pas votre consentement, Doctolib peut utiliser vos données de santé (c'est la base légale "intérêt public)
Doctolib insiste sur le fait que les informations utilisées seront pseudonymisées ; il n’y aura pas de moyen de les connecter directement à l’utilisateur concerné

Il faut se rappeler que ce n'est pas fiable
Les limites de l’anonymisation des données
https://www.malekal.com/limites-anonymisation-donnees/

Les données collectées
GUnSMwvWEAAirUK.jpg


Doctolib ne cache pas ses ambitions : « devenir une référence de l’IA en Europe ». Car la plateforme en est persuadée, « la santé est l’un des secteurs qui va le plus profiter de l’IA ces prochaines années », fait valoir son porte-parole.

https://info.doctolib.fr/blog/ia-sante/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20616
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

DOCTOLIB et l'IA (Intelligence Artificielle)

par Parisien_entraide »

2024-10-20_123149.jpg
Dans 10 ans l'IA de Doctolib aux vues de vos symptômes décrètera que vous n'êtes plus rentable pour la société et vous intégrera dans le projet "soleil vert".. Nan je plaisante :-)



Sur Doctolib, l’IA va écouter votre échange avec le médecin


L’outil a été déployé le 15 octobre 2024

Lors de votre prochaine téléconsultation, le médecin ne sera plus seul à vous écouter.
Doctolib a officiellement lancé son assistant de consultation dopé à l’intelligence artificielle pour “transformer le déroulement des consultations“.

L’outil était en phase de test depuis quelques mois auprès de quelque 350 soignants, il est désormais accessible à l’ensemble des médecins généralistes et des pédiatres utilisateurs de la plateforme.

Un outil qui pourrait être le premier d’une longue série de « solutions » utilisant l’intelligence artificielle pour « simplifier la vie des médecins, dont le rythme des journées est infernal, explique Jean-Urbain Hubau, directeur général France de Doctolib.

L’assistant se servira du micro de l’ordinateur du médecin pour “écouter” et “analyser” la conversation avec le patient. Il sera ainsi capable de prendre des notes en temps réel et de “retranscrire fidèlement l’échange entre le soignant et le patient“, explique l’entreprise. Une synthèse de consultation devra ensuite être validée et complétée si besoin par le médecin.


VIE PRIVEE


Il sera nécessaire d’obtenir le consentement préalable du patient avant que ses données soient traitées par IA

Doctolib précise

Code : Tout sélectionner

- Que la discussion n'est pas enregistrée et aucun élément n'est stocké.
- Les audios ne sont pas conservés à l’issue de la consultation
- Tous les échanges de données sont chiffrés
- L’ensemble des données sont hébergées sur des serveurs basés dans l’Union européenne, certifiés Hébergement de Données de Santé (HDS)

PRIX :

Pour l’instant, l’outil est gratuit.
L’objectif est que les professionnels de santé utilisent massivement l’assistant IA, avant une généralisation à l’ensemble des spécialités médicales dans le courant de l’année prochaine.
Il sera ensuite proposé en option payante, à raison d’un abonnement de 79€ par mois.

Source partielle :https://www.journaldugeek.com/2024/10/1 ... e-medecin/

________________________________________________________________

CONCLUSION

Il est dit que les discussions ne sont pas enregistrées etc mais alors pourquoi indiquer que les données sont conservées sur des serveurs externes ?
Si on regarde le passif de Doctolib, il y a tout lieu de se méfier

Outre l'abonnement classique Doctolib, il faudra débourser 80 euros par mois... Et si tous les patients refusent ? Il y a un seuil de rentabilité ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20616
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: 🛡️ DOCTOLIB Données de santé : une nouvelle application fait débat

par Parisien_entraide »

2024-12-03_171702.jpg


Doctolib refait parler de lui



Mercredi 20 novembre, l’entreprise française a annoncé, comme chaque année, les fonctionnalités qu’elle comptait développer dans les douze prochains mois. Assistant téléphonique virtuel avec de l’intelligence artificielle pour soulager les secrétariats, développement de la messagerie patients-soignants… La polémique est pourtant venue d’une nouveauté qui peut paraître moins révolutionnaire

Cette fois, il s’agira de lancer un nouvel onglet “Santé” au sein du profil utilisateur. Objectif : suivre plus facilement le parcours de santé des usagers, en compilant leur historique de consultations et de prescriptions, mais aussi les allergies et les antécédents, tout en facilitant les échanges avec le praticien.

Présenté comme complémentaire au carnet de santé numérique de l’Assurance Maladie, l’onglet Santé de Doctolib risque surtout de le remplacer. La position quasi hégémonique de l’application promet de s’imposer comme un sérieux concurrent à Mon Espace Santé, alors même que les services publics se sont longtemps demenés pour mettre en place un dispositif fonctionnel et efficace. Interrogé par Le Monde, Thomas Fâtome, le directeur général d’Amélie insiste : “Le lieu de référence de l’hébergement des données de santé, c’est le service public, avec Mon Espace Santé, il y a une vraie ambiguïté à en proposer un autre“.

Pour les médecins, le risque sera surtout de mettre en place un système de doublon, qui poussera les professionnels de santé à prioriser Doctolib plutôt que Mon Espace Santé, avec tous les risques de confidentialité que cela implique. De son côté, Doctolib se défend de vouloir “privatiser le carnet de santé numérique“. Une promesse que le corps médical a visiblement du mal à croire. Toujours selon Le Monde, une tribune a circulé parmi syndicats de médecins et associations de patients, pointant du doigt la privatisation du système de santé français. Le ministère de la Santé lui-même est désormais appelé à agir.

Aujourd’hui, Mon Espace Santé rassemble plus de 15 millions d’utilisateurs. Un chiffre bien en dessous des 50 millions d’internautes qui utilisent Doctolib pour leur prise de rendez-vous médicaux.

Source partielle et copier coller
https://www.lemonde.fr/societe/article/ ... _3224.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »