Face à la commission des affaires sociales du Sénat, la licorne Doctolib a été interrogée sur ses pratiques en matière de sécurisation des données de santé. Jean-Urbain Hubau, directeur général, et Camille Vaziaga, directrice des affaires publiques, ont été entendus sur ce sujet dans le cadre d'une audition parlementaire.
Un tiers de confiance sur la sécurité des données
"Doctolib comme tiers de confiance sur la sécurité des données", Voici comment résume Jean-Urbain Hubau la position de l'entreprise dans le secteur des données de santé. Un sujet central pour les sénateurs qui ont été nombreux à poser des questions s'inquiétant qu'un acteur privé détienne autant d'informations sensibles.
Pour rappel, près de 15 millions de rendez-vous médicaux sont pris sur la plateforme chaque mois. Le sénateur de Paris Bernard Jomier, médecin de profession, interpelle Doctolib sur ses pratiques en matière de sécurisation. "Vous êtes un acteur majeur avec des responsabilités. La responsabilité de contrôler l'utilisation et la non fuite des données de santé avec risque de divulgation du secret médical. Alors comment faites-vous ?", a-t-il déclaré.
Les données hébergées par AWS à Paris et Francfort
"C'est un sujet qui est bien évidemment super important pour nous, débute le directeur général de la pépite. Nous sommes très très sensibilisés là-dessus puisqu'en étant tiers de confiance, nous ne pouvons pas nous permettre d'avoir des doutes sur la sécurité et la confidentialité des données." En pratique, il explique que les données transitant par Doctolib sont hébergées par Amazon Web Services (AWS) "en France, à Paris" ainsi "qu'en Allemagne à Francfort".
Il rappelle que, comme la législation l'y oblige, AWS détient la certification "Hébergeur de données de santé" (HDS) et détient "les principales normes internationales". Aussi, complète-t-il, Doctolib possède lui-même "beaucoup de types de certifications", telle qu'ISO 27701 (norme qui décrit la gouvernance et les mesures de sécurité à mettre en place pour le traitement de données personnelles) et ISO 27001 (norme sur la sécurité des systèmes d'information).
Le choix d'AWS contesté pendant le Covid-19
Le choix d'un hébergeur américain avait été pointé du doigt pendant la pandémie de Covid-19, période durant laquelle Doctolib servait de plateforme centrale pour les prises de rendez-vous vaccinaux dans le cadre d'un contrat avec le ministère de la Santé. Des associations et des syndicats avaient ainsi déposé un recours en référé devant le Conseil d'Etat estimant qu'en ayant choisi AWS la pépite française ne protégeait pas suffisamment les données personnelles des patients. Le juge des référés avait écarté cette demande relevant que les données recueillies dans le cadre des rendez-vous ne comprenaient pas de données de santé sur les motifs médicaux d'éligibilité à la vaccination. Par ailleurs, il relevait que des garanties avaient été mises en place pour faire face à une éventuelle demande d'accès par les autorités américaines.
D'après Jean-Urbain Hubau, AWS est "le seul aujourd'hui à avoir la capacité à héberger une aussi grosse quantité de données avec le niveau de service que l'on a aujourd'hui". La même explication a été fournie par la mission dédiée au Health Data Hub, cette immense base regroupant les données de santé des Français qui est hébergée par Microsoft Azure. Une technologie de "chiffrement" a été mise en place, précise-t-il, afin que "les données ne puissent pas être accédées sur des serveurs en question et être lues [par les autorités américaines, ndlr]". La clé de chiffrement est "chez Atos". Plus précisément, il s'agit d'un "chiffrement de bout en bout pour les documents qui transitent sur nos services". Le but : tenter de se protéger du CLOUD Act, une législation qui permet aux autorités américaines, sous certaines conditions, de pouvoir accéder aux données hébergées par des fournisseurs américains et ce, quelque soit la localisation des serveurs.
La preuve, d'après le directeur général, que Doctolib est "extrêmement précautionneux sur les données" ainsi que sur le respect de la vie privée. "Nous ne vendons pas les données des utilisateurs, explique-t-il. Nous, notre modèle est un abonnement mensuel à nos logiciels pour les professionnels de santé."
Quid de la souveraineté ?
Sans grande surprise, la salle de la commission semble être émue du choix d'une entreprise américaine. "Le sujet d'être hébergé sur un hébergeur purement français et avec toutes les discussions notamment SecNumCloud, nous sommes une entreprise française donc il n'y a aucune problème à le faire dans la capacité de l'hébergement", a répondu le directeur. Puis de rajouter, une nouvelle fois : "aujourd'hui, il n'y pas d'hébergeur qui ait la capacité de fournir le niveau de sécurité et de qualité de services que nous donnons aujourd'hui à nos utilisateurs qui soit un hébergeur certifié SecNumCloud". "Le jour où il y en a un, on sera ravis à migrer sur leurs serveurs", conclut-il. A date, Cloud Temple, OVHCloud, Oodrive, Outscale et Worldine ont obtenu le visa de sécurité par l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Sur l'aspect de la cybersécurité, le directeur général indique que Doctolib procède à des tests de pénétration (pen test). Il cite en particulier la mise en place du bug bounty, cette pratique qui consiste à récompenser des hackers éthiques pour la découverte de bugs informatiques. Pour rappel, l'entreprise a été victime d'une attaque informatique en juillet 2020 par laquelle des hackers avaient réussi à mettre la main les données de 6128 rendez-vous (nom, prénom, sexe, numéro de téléphone, date, nom et spécialité du professionnel de santé).
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
