Doctolib victime d’un vol de données sur plus de 6 000 rendez-vous médicaux

Les données personnelles associées à plus de 6 000 rendez-vous médicaux ont été dérobées. Nom, prénom, sexe et âge d’utilisateurs de la fameuse plateforme de prise de rendez-vous médicaux ont ainsi été piratés par les auteurs de l’attaque informatique.

Ce jeudi 23 juillet, la plateforme de téléconsultation Doctolib a annoncé avoir été victime d’un vol de données portant sur près de 6 000 rendez-vous. La startup française a annoncé avoir été victime d’un piratage « visant des informations administratives de rendez-vous », c’est-à-dire le nom, le prénom, l’âge, le sexe, le numéro de téléphone et l’adresse courriel du patient, ainsi que la date du rendez-vous, le nom et la spécialité du médecin. Des informations très sensibles. Un « acte malveillant » qui a concerné au total 6128 rendez-vous.

Cependant, et c’est le plus important, Doctolib assure qu’« aucune information relative au dossier médical des patients » n’avait été dérobée. Une attaque informatique qui aurait eu lieu mardi dernier, et qui ne concerne pas « les rendez-vous pris sur doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib » mais « des rendez-vous pris sur certains logiciels tiers connectés à Doctolib » précise l’entreprise dans un communiqué. Selon un porte-parole de l’entreprise, la faille viendrait en effet des programmes utilisés par les professionnels de santé pour gérer leurs agendas et rendez-vous, et qui disposent d’une « interface » avec Doctolib.

La start-up française, qui revendique 250 millions de rendez-vous pris l’an dernier via sa plateforme, se veut rassurante : « Aucune donnée médicale n’a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n’a été concerné ».

La nouvelle licorne de la French Tech, valorisée à plus d’un milliard de dollars a annoncé avoir informé la Commission nationale de l’informatique et des libertés (CNIL), comme l’y oblige le RGPD, la règlementation européenne sur la protection des données personnelles. « Une plainte a par ailleurs été déposée à la police », ajoute l’entreprise.