Ce matin, la cellule Enquête de Radio France publiait un article sur le chiffrement des données de santé de Doctolib, explications
francetvinfo.fr/internet/secur par @geraldinehallot@twitter.activitypub.actor

@geraldinehallot@twitter.activitypub.actor Il existe 2 types de données chez Doctolib :
- les rendez-vous : qui a rendez-vous chez qui et quand, pour quel motif
- les documents : ordonnances etrésultats
Tout d'abord les documents : ils sont "chiffrésde bouten bout" d'après Doctolib (2/n)

Sauf que ce chiffrement utilise Tanker, qui n'est pas, stricto-sensus, du E2EE (acronyme anglais pour chiffrement de bout en bout).
La raison à cela est qu'avec du E2EE strict, si vous perdez votre PC ou téléphone, vous perdez l'accès à vos données. Dur à admettre

en E2EE strict vous avez une clé, l'autre partie (le/la docteur.e) a un clé aussi, et personne entre 2 ne peux accéder aux données. Avec Tanker, il est possible de "retrouver" l'accès à ses données, donc une clé maitre existe chez Tanker. (c'est plus compliqué que ça bien sûr)

Doctolib fait ce choix légitime: il n'est pas admissible que si on perd son PC, on perde ses documents. En passant par un tiers "de confiance" comme Tanker, on a les doc chez Doctolib, et les clés chez Tanker, soit.
Sauf que Doctolib a racheté Tanker ...
usine-digitale.fr/article/doct

@vincib
Cette plateforme ne mérite pas ma confiance depuis le début et quand j'appelle pour prendre un rdv chez un médecin et que je reçois un texto de confirmation doctolib je les dénonce d'office à la CNIL ils n'ont pas à m'y inscrire de force.

@wallace @vincib Sauf qu’à ce niveau la plainte n’est pas recevable. Le choix du prestataire de gestion du cabinet médical de ton médecin ne relève pas du consentement au sens RGPD du terme.

@wallace @vincib À partir du moment où ton praticien a valablement qualifié son prestataire comme étant conforme RGPD (ce que Doctolib est plutôt a priori, techniquement ils ont le cul pas trop mal propre, communicativement parlant un peu moins), son choix de prestataire ne te revient pas.

@wallace @vincib La problématique se situe plutôt au niveau de cette qualification RGPD par ton médecin : j’y crois plus que pas du tout.

@wallace @vincib Et niveau Doctolib, le seul truc côté RGPD qu’on peut reprocher, c’est l’usage de AWS dans un contexte SchremsII. Mais ils sont sur les infra AWS HDS, et y’en a pas des masses à dispo de presta de ce type… 🤷

@wallace @vincib Typiquement OVH est presque plus mesquin que Doctolib niveau communication à ce niveau : c’est HDS mais avec la petite étoile « juste pour le matos et le soft, pour le process c’est de votre responsabilité ». Donc pas HDS…

Follow

@aeris
HDS y a plusieurs niveaux, AWS comme OVH et d'autres ce n'est que les niveaux 1 à 2 voir jusqu'à 4. Les niveaux 5 et 6 c'est soit en interne certifié hds soit par de l'infogerance certifié hds.
@vincib

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Mamot.fr est un serveur Mastodon francophone, géré par La Quadrature du Net.