Vous n'êtes pas identifié(e).

#1 Le 30/08/2022, à 08:42

P'skhal
Explorateur
Lieu : Au-delà du portail
Inscription : Le 18/08/2016,
Messages : 37 104

Audit n°2 de Doctolib

David Libeau a écrit :

J’ai publié en mai 2021 un premier audit de Doctolib. J’avais fait cet audit car cette plateforme nous était imposée pour nous faire vacciner contre le Covid. Depuis, Doctolib a changé bon nombre de ses technologies et je souhaite donc faire une mise à jour.

Comme pour le précédent audit, il s’agit ici de quelques points qui me semblent pertinents d’aborder et non un audit exhaustif.

1. Droit d’accès

Doctolib ne respecte toujours pas le droit d’accès aux données personnelles. J’ai fait une demande d’accè à une copie de mes données personnelles début juillet qui n’a pas reçu de réponse. Comme je l’explique dans cette analyse, l’engagement sur l’accès à ses données « à tout moment » (comme il était précédemment indiqué) n’est plus présent dans les engagements de Doctolib.

2. Tracking non-anonyme

Le tracking non-anonyme que j’avais relevé dans le premier audit est toujours présent mais il a changé d’adresse et de technologie. Il s’agit maintenant de l’adresse « events-logs.doctolib.com ». J’ai publié une courte vidéo sur le sujet. Dans cette vidéo, j’ai affirmé que Sentry faisait les requêtes et qu’il était en toute logique destinataire des données. Après une demande d’explication faites sur Twitter le 20 mai 2022, un courriel envoyé au DPO de Doctolib le 27 juillet 2022 fait au titre de l’article 15 du RGPD et d’une vidéo postée sur les réseaux sociaux le 10 août 2022, Doctolib a enfin répondu à certaines de mes questions et m’a notamment indiqué de la société Sentry n’était pas destinataire des données récoltées par « events-logs.doctolib.com ». Je vais ici détailler mon analyse.

Comment j’ai déterminé que Sentry était utilisé ?

Pour déterminer que Sentry était utilisé pour les requêtes « events-logs.doctolib.com », j’ai analysé les traces des requêtes et décortiqué les scripts exécutés par le site Doctolib. J’ai remarqué que ces requêtes pouvaient être initiées par deux scripts. Le premier était un script avec un nom générique dont on ne pouvait pas déduire son utilité. Le second était un script où Sentry était mentionné dans le nom du script et a de nombreuses reprises dans le script. J’ai ainsi déduit que les requêtes initiées par ce script concernait Sentry. Cela était cohérent avec la Politique relative à la protection des données personnelles de Doctolib qui décrit Sentry comme « outil analytique » dans la liste des sous-traitants praticiens et comme outil de surveillance des applications dans la liste des sous-traitants patients. Cela était également cohérent avec ce que propose Sentry en matière de traçage du front-end.

La suite sur blog.davidlibeau.fr


“ Aujourd'hui plus qu'hier et bien moins que demain „

P'skhal

#1 Le 30/08/2022, à 08:42

Explorateur
Lieu : Au-delà du portail
Inscription : Le 18/08/2016,
Messages : 37 104
David Libeau a écrit :

J’ai publié en mai 2021 un premier audit de Doctolib. J’avais fait cet audit car cette plateforme nous était imposée pour nous faire vacciner contre le Covid. Depuis, Doctolib a changé bon nombre de ses technologies et je souhaite donc faire une mise à jour.

Comme pour le précédent audit, il s’agit ici de quelques points qui me semblent pertinents d’aborder et non un audit exhaustif.

1. Droit d’accès

Doctolib ne respecte toujours pas le droit d’accès aux données personnelles. J’ai fait une demande d’accè à une copie de mes données personnelles début juillet qui n’a pas reçu de réponse. Comme je l’explique dans cette analyse, l’engagement sur l’accès à ses données « à tout moment » (comme il était précédemment indiqué) n’est plus présent dans les engagements de Doctolib.

2. Tracking non-anonyme

Le tracking non-anonyme que j’avais relevé dans le premier audit est toujours présent mais il a changé d’adresse et de technologie. Il s’agit maintenant de l’adresse « events-logs.doctolib.com ». J’ai publié une courte vidéo sur le sujet. Dans cette vidéo, j’ai affirmé que Sentry faisait les requêtes et qu’il était en toute logique destinataire des données. Après une demande d’explication faites sur Twitter le 20 mai 2022, un courriel envoyé au DPO de Doctolib le 27 juillet 2022 fait au titre de l’article 15 du RGPD et d’une vidéo postée sur les réseaux sociaux le 10 août 2022, Doctolib a enfin répondu à certaines de mes questions et m’a notamment indiqué de la société Sentry n’était pas destinataire des données récoltées par « events-logs.doctolib.com ». Je vais ici détailler mon analyse.

Comment j’ai déterminé que Sentry était utilisé ?

Pour déterminer que Sentry était utilisé pour les requêtes « events-logs.doctolib.com », j’ai analysé les traces des requêtes et décortiqué les scripts exécutés par le site Doctolib. J’ai remarqué que ces requêtes pouvaient être initiées par deux scripts. Le premier était un script avec un nom générique dont on ne pouvait pas déduire son utilité. Le second était un script où Sentry était mentionné dans le nom du script et a de nombreuses reprises dans le script. J’ai ainsi déduit que les requêtes initiées par ce script concernait Sentry. Cela était cohérent avec la Politique relative à la protection des données personnelles de Doctolib qui décrit Sentry comme « outil analytique » dans la liste des sous-traitants praticiens et comme outil de surveillance des applications dans la liste des sous-traitants patients. Cela était également cohérent avec ce que propose Sentry en matière de traçage du front-end.

La suite sur blog.davidlibeau.fr


“ Aujourd'hui plus qu'hier et bien moins que demain „

Hors ligne

Hors ligne

#2 Le 30/08/2022, à 08:48

M'lou
MétalWoman
Lieu : Quelque part dans la Galaxie
Inscription : Le 18/08/2016,
Messages : 41 500

Re : Audit n°2 de Doctolib

Pffffffffffffffffff  .....


L'amour est comme un jardin, il doit se cultiver chaque  jour pour donner le meilleur de lui-même

M'lou

#2 Le 30/08/2022, à 08:48

MétalWoman
Lieu : Quelque part dans la Galaxie
Inscription : Le 18/08/2016,
Messages : 41 500

Pffffffffffffffffff  .....


L'amour est comme un jardin, il doit se cultiver chaque  jour pour donner le meilleur de lui-même

Hors ligne

Hors ligne

#3 Le 30/08/2022, à 08:49

P'skhal
Explorateur
Lieu : Au-delà du portail
Inscription : Le 18/08/2016,
Messages : 37 104

Re : Audit n°2 de Doctolib

Et oui...   hmm


“ Aujourd'hui plus qu'hier et bien moins que demain „

P'skhal

#3 Le 30/08/2022, à 08:49

Explorateur
Lieu : Au-delà du portail
Inscription : Le 18/08/2016,
Messages : 37 104

Et oui...   hmm


“ Aujourd'hui plus qu'hier et bien moins que demain „

Hors ligne

Hors ligne

#4 Le 30/08/2022, à 08:51

M'lou
MétalWoman
Lieu : Quelque part dans la Galaxie
Inscription : Le 18/08/2016,
Messages : 41 500

Re : Audit n°2 de Doctolib

hmm


L'amour est comme un jardin, il doit se cultiver chaque  jour pour donner le meilleur de lui-même

M'lou

#4 Le 30/08/2022, à 08:51

MétalWoman
Lieu : Quelque part dans la Galaxie
Inscription : Le 18/08/2016,
Messages : 41 500

hmm


L'amour est comme un jardin, il doit se cultiver chaque  jour pour donner le meilleur de lui-même

Hors ligne

Hors ligne

Pied de page des forums