© AFP - 19/06/2020
#Chiffrer_les_documents_et_email, #chiffrer_partager, #chiffrer_faire_signer, #chiffrer_garantir_intégrité
Stanislas Niox-Chateau, co-fondateur de Doctolib. Crédit: Doctolib.
Pour le fondateur et dirigeant de Doctolib Stanislas Niox-Château, le chiffrement de bout en bout désormais instauré sur les données des patients de Doctolib garantit la sécurité de celles-ci, même si elles sont hébergées chez un fournisseur de cloud américain.
Qu’est-ce que le « chiffrement des données de bout en bout » annoncé ce vendredi par Doctolib?
Nous avons travaillé avec une jeune start-up française, Tanker, qui utilise une technologie de pointe. Grâce à ce système, chaque utilisateur de la plateforme Doctolib a une clef, qui est la seule à pouvoir permettre de chiffrer et déchiffrer ses données. Aucune autre personne que le patient ou le praticien ne peut accéder aux données, même pour des opérations de maintenance ou d’assistance. L’utilisateur de Doctolib ne verra pas ce changement, il aura juste dans son compte cette clef qui permet d’accéder aux données.
Doctolib a recours à un fournisseur de cloud américain pour héberger ses données. Certaines d’entre elles ne risquent-elles pas d’être captées par les autorités américaines, en vertu de la loi extra-territoriale américaine dite « Cloud Act »?
Les données sont principalement hébergées par Amazon Web Services à Paris. Mais AWS ne peut pas avoir accès aux données parce qu’elles sont chiffrées. Et la clef de chiffrement est chez un autre hébergeur qui est un hébergeur français, donc il n’y a aucun moyen pour AWS d’accéder aux données. Même si AWS devait faire jouer le « Cloud Act » pour des cas de terrorisme par exemple, ce qui ne s’est jamais produit, ils ne pourraient pas accéder aux données. Il peut y avoir n’importe quelle loi aux États-Unis, il ne se passera rien (pour ces données chiffrées), car technologiquement il ne peut rien se passer.
L’État a récemment pris la décision contestée d’héberger les données de santé pour la recherche chez Microsoft, au motif qu’il ne trouvait pas d’offre de service adéquate chez les acteurs français. Avez-vous eu la même difficulté à trouver chaussure à votre pied en France?
La réponse est oui. C’est pour cela que nous avons fait le choix de cumuler les deux solutions, d’avoir un hébergeur, AWS, qui est le plus performant du monde en matière de protection des données (…), et un hébergeur français pour les clefs de chiffrement. À partir du moment où vous faites le chiffrement des données, l’hébergeur a peu d’importance.
L’État souhaite installer un Espace national de santé, avec un service de messagerie sécurisée de santé proposée à chaque citoyen français pour pouvoir recevoir et envoyer des données de santé avec des professionnels. Qu’en pensez-vous?
L’État parle de créer des services nouveaux. Je pense que cela ne devrait pas être sa priorité. L’État devrait plutôt se concentrer sur un rôle de régulateur, de création de référentiels, de normes, et ensuite faire confiance à ses soignants et aux Français. Il y a plein d’innovation médicale et pharmaceutique en France, mais il y a peu d’innovation numérique, peu d’innovation organisationnelle ou servicielle, à cause des forces de lobbying et de la centralisation parisienne.