Doctolib: « Lorsque vous faites le chiffrement des données, l’hébergeur a peu d’importance »
AFP
Pour le fondateur et dirigeant de Doctolib Stanislas Niox-Château, le chiffrement de bout en bout désormais instauré sur les données des patients de Doctolib garantit la sécurité de celles-ci, même si elles sont hébergées chez un fournisseur de cloud américain.
Qu’est-ce que le « chiffrement des données de bout en bout » annoncé ce vendredi par Doctolib?
Nous avons travaillé avec une jeune start-up française, Tanker, qui utilise une technologie de pointe. Grâce à ce système, chaque utilisateur de la plateforme Doctolib a une clef, qui est la seule à pouvoir permettre de chiffrer et déchiffrer ses données. Aucune autre personne que le patient ou le praticien ne peut accéder aux données, même pour des opérations de maintenance ou d’assistance. L’utilisateur de Doctolib ne verra pas ce changement, il aura juste dans son compte cette clef qui permet d’accéder aux données.
Doctolib a recours à un fournisseur de cloud américain pour héberger ses données. Certaines d’entre elles ne risquent-elles pas d’être captées par les autorités américaines, en vertu de la loi extra-territoriale américaine dite « Cloud Act »?
Les données sont principalement hébergées par Amazon Web Services à Paris. Mais AWS ne peut pas avoir accès aux données parce qu’elles sont chiffrées. Et la clef de chiffrement est chez un autre hébergeur qui est un hébergeur français, donc il n’y a aucun moyen pour AWS d’accéder aux données. Même si AWS devait faire jouer le « Cloud Act » pour des cas de terrorisme par exemple, ce qui ne s’est jamais produit, ils ne pourraient pas accéder aux données. Il peut y avoir n’importe quelle loi aux États-Unis, il ne se passera rien (pour ces données chiffrées), car technologiquement il ne peut rien se passer.
L’État a récemment pris la décision contestée d’héberger les données de santé pour la recherche chez Microsoft, au motif qu’il ne trouvait pas d’offre de service adéquate chez les acteurs français. Avez-vous eu la même difficulté à trouver chaussure à votre pied en France?
La réponse est oui. C’est pour cela que nous avons fait le choix de cumuler les deux solutions, d’avoir un hébergeur, AWS, qui est le plus performant du monde en matière de protection des données (…), et un hébergeur français pour les clefs de chiffrement. À partir du moment où vous faites le chiffrement des données, l’hébergeur a peu d’importance.
L’État souhaite installer un Espace national de santé, avec un service de messagerie sécurisée de santé proposée à chaque citoyen français pour pouvoir recevoir et envoyer des données de santé avec des professionnels. Qu’en pensez-vous?
L’État parle de créer des services nouveaux. Je pense que cela ne devrait pas être sa priorité. L’État devrait plutôt se concentrer sur un rôle de régulateur, de création de référentiels, de normes, et ensuite faire confiance à ses soignants et aux Français. Il y a plein d’innovation médicale et pharmaceutique en France, mais il y a peu d’innovation numérique, peu d’innovation organisationnelle ou servicielle, à cause des forces de lobbying et de la centralisation parisienne.
- Freqens lève 3 millions d’euros pour accompagner les équipes achats dans leurs décisions. - 21/11/2024
- Le belge ODOO dépasse les 5 milliards d’€ de valo / Résilience fait une acquisition / Les levées de fonds à ne pas manquer - 21/11/2024
- RESILIENCE fait l’acquisition de GIMLI pour personnaliser les soins en oncologie grâce à l’IA - 21/11/2024
Attention à ne pas agiter l’épouvantail de la souveraineté numérique avec de fausse information ou un vocabulaire inadapté : Le cloud act n’a rien à voir avec le terrorisme. C’est le patriot act qui couvre ce domaine. Le Cloud act ne couvre que les données relatives à des délits d’ordre penal (il faut un crime ou un délit grave pour qu’un juge US émette une réquisition et le tout se fait dans un cadre légal stricte). . Quand à l’emphase sur « L’extraterritorialité du droit Américain », la GDPR est une extraterritorialité du droit Européen ;-)
Le seul intêret qu’il y a d’utiliser un service d’hébergement americain comme AWS c’est pour y effectuer des traitements sur des données. Sauf que, le chiffrement implique que cela n’est pas possible. Il est nécessaire, avec les technologies utilisables aujourd’hui, de posséder des données en clair et donc sans chiffrement pour y effectuer des traitements.
Stocker des données pour ne les garder qu’au repos chiffrées chez un hébergeur americain comme AWS n’a aucun intêret. Des hébergeurs français comme Gandi, OVH, Online, Scaleway et bien d’autres encore peuvent offrir du stockage haute vitesse a bas coût. OVH par exemple a des offres « Block Storage », stockage haute vitesse, pour 0,08€ HT par mois. Par exemple, dans l’hypothèse que Doctolib stocke 10TB de données (ce qui est volontairement revu a la hausse), cela couterait 800€ par mois. Une somme dérisoire, bien en dessous du coût d’un seul employé au SMIC, le minimum légal.
Dans ces conditions, faire tout chez un prestataire français et obtenir le même niveau de sécurité sans chiffrement chez celui ci est trivial. Or, Doctolib utilise AWS, car il l’utilise très certainement pour y faire des traitements, ce qui implique que AWS possède un accès aux données en clair. Le chiffrement n’est donc pas effectif et ne sert a rien car c’est une contradiction technique. Alerte a l’enfumage dans cet article.
Cet article est donc un gros mensonge, je vous invite donc a vous référer au document qui déconstruit ce même genre de logique fallacieuse a l’adresse : https://interhop.org/healthdatahub-travestit-le-chiffrement-des-donnees