Remarques liminaires : alors même que je terminais mon article sur le projet de « taxe lapin », nous apprenons que le patron de Doctolib, Stanislas Niox-Château, a exprimé son refus « de forcer les patients à enregistrer leurs données bancaires sur la plateforme, afin que la taxe lapin leur soit déduite le cas échéant ». Non opposé à cette taxe, il dénonce notamment l’inégalité engendrée par la communication de l’empreinte bancaire. : « Il y a 15 % des patients qui sont en situation d’illectronisme (qui n’ont pas internet ou qui ne savent pas l’utiliser correctement) et 5 % qui n’ont pas de carte bancaire ».
1. Introduction
Le Premier ministre Gabriel Attal propose de sanctionner via une taxe, dénommée « taxe lapin », les rendez-vous médicaux non honorés. Cette sanction consisterait à débiter 5 € sur la cartebancaire des patients qui oublieraient de prévenir, au moins 24 heures à l’avance, de leur impossibilité à se rendre au rendez-vous médical qu’ils auraient pris. Pour la mise en œuvre de cette mesure, le gouvernement envisage de demander à chaque patient de communiquer son numéro de carte bancaire aux professionnels ou à la plateforme de prise de rendez-vous.
En France, la cybercriminalité ne cesse d’augmenter de manière exponentielle. Nous assistons notamment à des vols de données et à des piratages de fichiers. Les données bancaires étant des données sensibles, quid des risques d’escroquerie liés à cette procédure d’empreinte de carte bancaire ? Qu’en est-il de la protection des données personnelles ?
2. La communication de numéros de cartes ou d’empreintes bancaires est assimilable à un chèque en blanc
La pratique d’empreinte bancaire est courante dans certains secteurs comme l’hôtellerie, la location de voitures, etc. Dans celui-ci de la santé, son usage est consécutif au développement des téléconsultations.
2.1 Communication d’un numéro de carte bancaire dans le secteur commercial : des escroqueries potentielles et le piratage des données personnelles
Face aux dangers que présente la communication de coordonnées bancaires, certains sénateurs ont attiré l’attention du Ministre de l’économie sur cette pratique commerciale devenue courante consistant à exiger des clients qui réservent une chambre d’hôtel, un voyage, … la communication du numéro de leur carte bancaire sans précision du montant de l’éventuel débit rendu possible par une utilisation abusive de la carte se rapprochant trop d’un chèque en blanc. Ils soulignent que cette pratique « expose l’individu à un risque d’escroquerie d’autant plus inadmissible qu’elle n’est assortie d’aucune garantie de discrétion et qu'elle subordonne l'intérêt légitime du public à celui du commerçant qui refuse de prendre le moindre risque, celui d'une réservation sans suite ». Parmi les escroqueries, il faut citer par exemple le cas où, grâce à l’empreinte de la carte bancaire, un hôtelier débite le compte du client de prestations non fournies ou non consommées. Concernant la location de voitures, les cas de fraudes sont nombreux et illustrent comme dans l'exemple précédent les dangers relatifs à la communication de données sensibles figurant sur une carte bancaire. Ainsi, par exemple, un loueur de voiture facture la prise en charge d’un dommage alors que l’état des lieux de restitution du véhicule ne signale aucune dégradation.
Les sénateurs rappellent par ailleurs que « ce mode de paiement, qui tend à s’imposer, n’offre pas d’alternative aux nombreux usagers ne possédant pas de carte bancaire et ce pour diverses raisons. Il conclut : « Tous ces clients potentiels sont donc, inévitablement, exclus de la possibilité de réserver une chambre d’hôtel ».
Cette demande systématique d’empreinte de la carte bancaire par les hôteliers ou restaurateurs s’avère parfois très désobligeante et parfois irrespectueuse des règles en vigueur. Elle éloigne certains clients prudents qui se protègent des escroqueries et du piratage de leurs coordonnées bancaires car la fraude à la carte bancaire est de plus en plus fréquente. On peut craindre à juste titre que l'hôtelier ou son personnel détournent ces données bancaires à leur profit. Eu égard à l'accroissement de la criminalité financière constatée au niveau de l'hexagone, on comprend aisément que certains clients refusent de communiquer leurs données bancaires. De plus, certains hôteliers qui ne sont pas toujours respectueux de la loi, n'effacent pas les données des clients dans leurs fichiers. Ils sont en infraction avec le RGPD qui dans son article 17 stipule que «la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais ». Ce non-respect de l’article 17 est d’autant plus condamnable que l’hôtellerie est un secteur ciblé par les cybercriminels. Des contrôles sur place de la Commission nationale de l’informatique et des libertés (CNIL) révèlent un certain nombre de manquements tels que :
- l’absence d’une politique d’effacement des données (« certaines données étaient conservées depuis près de quinze ans »). Les données doivent être effacées une fois le paiement effectif réalisé afin de limiter l’utilisation frauduleuse des numéros de cartes bancaires.
- l’insuffisance des mesures de sécurité au regard de la nature des données enregistrées, numéro de carte bancaire notamment ;
- un défaut d’information des clients sur les conditions de traitement de leurs données et les droits qui leur sont reconnus par la loi.
2.2 Communication d’un numéro de carte bancaire dans le secteur de la santé : un frein à l’accès aux soins
Le secteur de la santé a déjà expérimenté l’usage de l’empreinte grâce au développement de la téléconsultation. Pour réserver un créneau, le patient fournit ses coordonnées bancaires à la plateforme de prise de rendez-vous et n’est prélevé qu’une fois la consultation effectuée. Gabriel Attal suggère d’étendre cette pratique à la « taxe lapin ».
En plus des dangers de piratage et des vols de données, cette démarche risque d’éloigner de l’accès aux soins les patients qui ne possèdent pas de carte bancaire ou qui n’ont pas une maîtrise suffisante des outils numériques. D’après le Livre blanc n°2 de la CNIL « Quand la confiance paie – les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données » (octobre 2021), en France 3 millions de personnes sont en situation d’exclusion financière. En outre, une partie de la population qui se comporte en personne responsable, c’est-à-dire qui n’agit pas à la légère, sans avoir réfléchi aux conséquences de certains actes ou mesures, est réticente à la communication du numéro de carte bancaire. Elle est consciente que les coordonnées bancaires, qui sont des données sensibles, sont un des meilleurs appâts des pirates informatiques. D’après un rapport de Cybermalveillance.gouv, l’augmentation des fraudes à la carte bancaire a progressé de 83 % en 2023. Enfin, l’INSEE révèle qu’un Français sur 6 souffre « d’illectronisme » ou « illettrisme numérique ». La fracture numérique a amené plus d’un quart des personnes âgées de plus de 60 ans en situation « d’exclusion numérique (Pitaud, Deschamps, 2021). L’incapacité à utiliser les outils numériques, dont souffrent en particulier les personnes âgées, a un impact significatif sur leur autonomie et leur inclusion sociale. Les seniors peuvent avoir du mal à accéder à des services essentiels en ligne tels que la gestion des comptes bancaires et la réservation de rendez-vous médicaux. La fracture numérique a encore de beaux jours devant elle !
3. La technique de l’empreinte bancaire au service de la « taxe lapin » : quid de la protection des données ?
3.1 Les piratages de Doctolib et les failles dans le système de protection des données de santé
Nos données de santé, nos données bancaires, sont le nouvel or noir des cyberpirates. On retrouve ces données en grand nombre sur l’internet clandestin (« darknet »). Ce dernier est devenu le « supermarché » des données françaises.
Le RGPD définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Ces données, ultra-sensibles, doivent être particulièrement encadrées par des règles de protection renforcées visant à garantir leur plus stricte confidentialité et leur sécurité.
Le 21 juillet 2020 Doctolib a été victime d’un vol de données
Dans un communiqué du 23 juillet 2020, Doctolib annonçait qu’il avait été victime « d’un acte malveillant ayant permis d’accéder illégalement aux informations administratives de 6 128 rendez-vous ».
Une étude réalisée en novembre 2023 par l’Institut Harris Interactive commandée par le ministère de la Santé et de la Prévention révèle que 78 % de Français redoutent la commercialisation ou le piratage de leurs données de santé. Ces craintes sont légitimes au vu du nombre de cyberattaques dans le secteur de la santé (hôpitaux, mutuelles, laboratoires, services de gestion de santé centralisé dont Doctolib, …). L’actualité de ces dernières années démontre que ce secteur est régulièrement ciblé par des cyberattaques.
Le 5 mars 2024, le site Cybermalveillance.gouv a publié son rapport annuel sur les cyberattaques. Les usurpations d’identité consécutives aux vols des données de santé ont bondi de 93 % ! Comme le souligne ce rapport, « pendant trop longtemps le secteur a négligé sa cybersécurité en pensant qu’il ne pouvait pas être la cible des cybercriminels. La « dette technique », autrement dit le retard de sécurisation, s’est creusée ».
Doctolib ne chiffre pas de bout en bout nos données personnelles de santé
D’après la définition d’IBM, « le chiffrement de bout en bout est un processus de communication sécurisée qui empêche les tiers d’accéder aux données transférées d’un point de terminaison à un autre ». Le Comité européen de la protection des données (CEPD) estime que le chiffrement de bout en bout, de l’expéditeur au destinataire, est le seul moyen d’assurer une protection complète des données en transit.
En 2020, l’entreprise assurait que les données personnelles des utilisateurs étaient désormais chiffrées de bout en bout. Ce qui signifie, en théorie, que seuls les médecins et leurs patients pouvaient y accéder. Le communiqué de l’époque garantissait que « cette technologie rendait rigoureusement impossible à toute autre personne d’accéder à ces données, y compris dans les opérations d’assistance ou de maintenance ». Deux ans plus tard, la cellule investigation de Radio France a tenté d’accéder à certaines de ces données et est parvenue à obtenir les détails de tous les rendez-vous pris via la plateforme grâce à un débogueur. L’enquête a montré que la plateforme ne chiffrait pas de bout en bout l’ensemble des données de ses utilisateurs. Contrairement à ce que l’entreprise de prise de rendez-vous en ligne prétend, ses salariés ont bien accès aux détails des rendez-vous médicaux. Les données sont bel et bien affichées en clair. Cette situation fait courir le risque qu’un « salarié de Doctolib mal intentionné détourne ces données de manière malveillante ou les transmette à un tiers […] qui pourrait être un assureur ou votre employeur » a signalé l’avocate Alexandra Iteanu, spécialisée dans la protection des données », aux enquêteurs de Radio France.
L’utilisation de Doctolib n’est pas sans danger pour 50 millions d’utilisateurs et suscite des questions quant à la confidentialité des données personnelles de santé. Pour Rémy Grünblatt, chercheur à l’Institut national de recherche en sciences et technologies du numérique (INRIA), « Doctolib est trop bavard parce qu’il donne trop d’informations à des tiers qui ne devraient pas avoir ces informations sur l’état de santé des utilisateurs ».
3.2 Transfert de nos données personnelles vers les États-Unis
Rappel de la règlementation européenne
Le RGPD a prévu toute une gamme d’outils juridiques pour assurer un haut niveau de protection des données qui sont transférées hors UE. En outre, la Commission européenne a adopté une « décision d’adéquation » en s’appuyant sur l’article 45 du RGPD, dont les dispositions sont les suivantes : « Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers , ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique ». La Commission a dressé une liste des pays qui fournissent un niveau de protection adéquat : ces pays sont la Suisse, l’Argentine, Guernesey, l’Ile de Man, la Nouvelle-Zélande, Jersey, les Iles Féroé, Andorre, Israël, l’Uruguay et le Japon.
Dans le cas spécifique des transferts de données vers les Etats-Unis, la CNIL rappelle que ce pays n’est pas jugé comme un pays fiable en matière de transfert de données. Les arrêts Schrems 1 d’octobre 2015 invalidant l’accord « « Safe Harbor » (ou « sphère de sécurité ») et Schrems 2 du 16 juillet 2020 invalidant l’accord « Privacy Shield » (ou « bouclier de protection des données ») « implique de réexaminer la légalité de certains transferts de données personnelles hors de l’Union européenne, et notamment de transferts à destination des Etats-Unis ». Le 18 juillet 2023, un nouveau cadre a été adopté par la Commission européenne pour permettre le transfert des données personnelles de l’UE vers les États-Unis (voir « Un nouvel accord de transfert des données entre l’UE et les Etats-Unis » - N. Antonin, 2023). Le Comité européen à la protection des données (CEPD) relève certaines améliorations par rapport aux deux accords précédents mais des craintes persistent.
Les arrêts Schrems 1 et Schrems 2 invalidés par la Cour de Justice de l’Union européenne (CJUE) mettent en lumière les risques liées à des transferts de données vers les Etats-Unis et nous interpellent au sujet des entreprises américaines sous-traitantes de Doctolib.
Doctolib a choisi le géant Amazon pour héberger les données de santé des Français
La société de droit privée Doctolib, qui a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous afférent à la Covid-19, héberge nos données sur des serveurs états-uniens.
Dans la lignée des actions à l’encontre de la plateforme Health Data Hub qui a opté pour Microsoft afin d’héberger et traiter des données de santé, un recours a été également engagé contre la société Doctolib qui a choisi les serveurs Web Services (AWS) et Cloudflare appartenant au géant Amazon pour stocker ses données de santé. A cet effet, entre le 26 février et le 7 mars 2021, plusieurs associations, syndicats, fédérations de médecins et autres ont demandé au juge des référés du Conseil d’Etat, statuant sur le fondement de l’article L. 521-2 du code de justice administrative « d’ordonner la suspension du partenariat avec la société Doctolib en ce qu’il repose sur un hébergement des données de santé auprès de la société états-unienne, le rendant incompatible avec le RGPD ». Le juge des référés a écarté cette demande au motif que les données recueillies dans le cadre des rendez-vous relatifs à la vaccination de la Covid-19 ne comprenaient pas de données de santé sur les motifs médicaux d’éligibilité à la vaccination. Par ailleurs, le juge relevait que des garanties avaient mises en place pour faire face à une éventuelle demande d’accès par les autorités américaines.
Le fait que Doctolib gère des données sensibles de millions de patients inquiète. Ses détracteurs dénoncent une sécurisation insuffisante. Le service d’hébergement et la dépendance croissante à l’égard des géants du numérique pose problème. En effet, l’adoption en 2018 de lois comme le Clarifying Lawful Overseas Use of Data Act (Cloud Act) et le Foreign Intelligence Surveillance Act (FISA) permettent aux agences gouvernementales des Etats-Unis d’avoir accès à n’importe quelle donnée gérée par une entreprise américaine si l’intérêt national l’exige.
Rappelons que l’invalidation du Privacy Shield (arrêt Schrems 2) a été justifié par le fait que cet accord ne permettait pas une protection des règles européennes du RGPD au vu du droit des Etats-Unis : le Cloud Act donne la possibilité à un juge américain d’exiger toutes les données personnelles gérées par une société américaine dans le monde et le FISA Act permet un accès aux données en transit vers les Etats-Unis sans surveillance judiciaire ni droit de recours.
4. Quelles mesures adopter ?
Des pratiques, qui ne feront pas le bonheur des pirates (« hackers ») sont envisageables : par exemple, la somme pourrait être déduite des remboursements opérés par l’organisme d’Assurance maladie selon le principe de la franchise médicale ou participation forfaitaire. On peut également réfléchir sur la possibilité pour le professionnel de santé de rajouter 5 euros au montant de la visite qui suit celle non honorée.
5. Glossaire
Chèque en blanc : chèque non rempli remis par le tireur (celui qui signe le chèque) à un bénéficiaire.
Note : un chèque en blanc donne la possibilité au porteur de le remplir lui-même. Cette pratique est dangereuse car la personne qui se trouve en sa possession peut le remplir comme elle le souhaite et se désigner comme bénéficiaire.
CNIL (Commission nationale de l’informatique et des libertés) : Autorité administrative indépendante instituée en 1978, chargée de veiller à ce que l’informatique ne porte pas atteinte aux libertés, aux droits, à l’identité humaine ou à la vie privée.
Donnée personnelle : «Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres». (Source : article 2 de la loi Informatique et Libertés).
Règlement général de la protection des données (RGPD) : Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
© Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.