Alors qu’un problème technique a provoqué la perte des données de plusieurs milliers de praticiens utilisateurs de Doctolib, l’entreprise n’a pas jugé bon de notifier la Cnil, estimant qu’il ne s’agit pas d’une violation de données. Mais le gendarme des données personnelles pourrait trouver à y redire.
Doctolib a perdu les données de plusieurs milliers de professionnels de santé. L’incident s’est produit le 26 avril, à 17h40. Jusqu’au lendemain à 11h40, « les observations médicales (les champs Motif, Interrogatoire, Examen, et Conclusion de la section Observation médicale) de vos consultations […], pour lesquelles vous avez partagé au moins un document avec le patient ou avec un autre praticien, n’ont pas été sauvegardées » explique l’entreprise dans un mail adressé à ses utilisateurs praticiens.
En cause, un dysfonctionnement survenu lors de la mise à jour de la fonctionnalité de gestion des rendez-vous. A BFM TV, Doctolib indique qu’ont été concernés par ce bug 1,3 % des praticiens utilisateurs, soit 2 300 médecins et autres professionnels. La société précise que ses équipes « se sont mobilisées dès la prise de connaissance du problème et l’ont résolu en moins d’une heure ». Le retour à la normale n’a toutefois eu lieu que le lendemain. Lors de ce laps de temps, des données n’ont pas été enregistrées.
Perte de disponibilité
Doctolib s’empresse d’ailleurs de préciser que « les informations ont été perdues mais aucune n'a été divulguée à qui que ce soit. Les champs de textes concernés n'ont au contraire pas été enregistrés ». A en croire BFM, qui cite le service juridique de Doctolib, l’entreprise ne serait donc pas tenue de notifier l’incident à la Cnil « puisqu'il s'agit d'une perte d'informations qui n'ont été enregistrées nulle part et non pas d'un vol de données ».
Ce à quoi on pourra rétorquer après un rapide coup d’œil sur le site de la Cnil que constitue une violation de donnée la « perte de disponibilité, d'intégrité ou de confidentialité, de manière accidentelle ou illicite ». Une perte de données, même accidentelle, s’avère donc être une violation de données et requiert une notification de la Cnil dans les 72 heures.