Une enquête menée par la cellule investigation de Radio France émet un certain contraste avec le communiqué de presse de Doctolib publié le 19 juin 2020. Dans ce dernier, l'entreprise française affirme chiffrer de bout en bout l'ensemble des données de ses utilisatrices et de ses utilisateurs pour davantage de cybersécurité. En réalité, le résultat de l'enquête de Radio France illustre que certaines informations sont bien accessibles « en clair » pour des employés de Doctolib.En d'autres termes, des informations telles que le nom et prénom du patient, la date de rendez-vous, la spécialité du professionnel de santé, et surtout le motif invoqué pour la consultation, sont visibles des employés de Doctolib. L'enquête n'a nécessité qu'une connexion à un compte personnel sur le site de l'entreprise avec l'utilisation d'un débogueur.Pas de quoi lancer une alerte générale donc, mais il convient de rectifier le propos initial de l'entreprise spécialisée dans la mise en relation des professionnels de santé avec les particuliers . En effet, Radio France, conjointement avec Benjamin Sonntag, développeur et co-fondateur de l'association La Quadrature du Net, constatent que les données concernant les prises de rendez-vous médicaux ne sont pas chiffrées de bout en bout.
Si l'entreprise appliquait donc un chiffrement de bout en bout comme elle le prétend, seuls les patients et les professionnels de santé auraient accès à leurs données. Or, notamment pour le service de rappel de rendez-vous par e-mail et SMS, Doctolib a besoin de connaitre la date, l'heure, l'identité du patient et le professionnel consulté. C'est déjà un peu plus délicat pour la question du motif de la consultation, car il est difficile de justifier le besoin de connaitre cette information pour le bon fonctionnement des services de Doctolib.Interrogée par Franceinfo, la firme précise qu'un « nombre très restreint de salariés a accès aux rendez-vous médicaux, à des moments précis et pour des raisons précises, dans le cadre des fonctions supports ». Néanmoins, cela constitue une faille potentielle, sachant que Doctolib a déjà subi une attaque avec un vol de données concernant les rendez-vous médicaux en juillet 2020 .La firme aurait donc tout intérêt à gagner en transparence sur le sujet du chiffrement. En effet, dévoiler le contenu de prises de rendez-vous peut exposer à une violation du secret médical, tandis que comme le précise l'avocate Alexandra Iteanu, elle-aussi interrogée par Franceinfo, « on n'est pas à l'abri qu'un salarié de Doctolib mal intentionné détourne ces données de manière malveillante ou les transmette à un tiers […] qui pourrait être un assureur ou votre employeur. Mais ces données pourraient être aussi revendues sur Internet ».