En France, en Allemagne et en Italie, Doctolib n’est pas simplement une licorne française, c’est aussi un géant européen des données de santé. Et ce statut ne vient pas sans contraintes. En juin 2021, un média allemand faisait les gros titres quant à la gestion et le partage des informations personnelles et de santé recueillis par Doctolib. Il n’y a pas de “zone grise”, martèle la plateforme française. Pour rassurer ses utilisateurs, elle vient de faire le rachat de son partenaire Tanker le 21 janvier dernier.
Cette acquisition est une bonne nouvelle : la startup française Tanker, lancée en 2015, travaille dans le chiffrement de bout en bout “à la manière de Signal”. Une technologie française avec laquelle Doctolib travaille depuis 2019 et qui lui appartiendra désormais (le montant du rachat n’a pas été divulgué) en plus de continuer à travailler avec d’autres acteurs comme l’assurtech Alan.
Mais comme une question qui ne lui échappera jamais, Doctolib fait naître toujours autant de doutes au sujet de la confidentialité des données. Il faut dire que sa vraie valeur repose sur cette mine d’information de plus de 60 millions d’utilisateurs, et non dans sa plateforme prestataire de rendez-vous.
@doctolib acquiert @tanker, notre partenaire depuis 2019, et sa technologie de chiffrement de bout en bout, garantissant un fort niveau de confidentialité pour les données sensibles.
Une technologie 🇫🇷 au service de la confidentialité de vos données.👉 https://t.co/WdLrs8Yh02 pic.twitter.com/tC6PbIWpqM
— Doctolib (@doctolib) January 21, 2022
Les principales questions autour de Doctolib
Plusieurs médias ont déjà tenté d’enquêter sur les dessous du modèle de Doctolib. En vain. La plus complète, mais qui n’offre aucune réponse claire, provient des équipes de Franceinfo. En février 2020, la chaîne publiait un dossier reflétant l’ensemble des questions et interrogations actuelles autour de la plateforme française. On y retrouvait celle de la conformité autour du RGPD (Règlement général sur la protection des données).
Les journalistes rappelaient que celui-ci avait grandement contribué à la protection des données de santé en élargissant la catégorie à davantage d’informations telles que les données de corrections visuelles ou la prise de rendez-vous avec un médecin. La théorie autour du RGPD est très bien conçue, avec une sécurité renforcée pour ne pas laisser les entités récolter trop d’informations qui ne serviront pas pour les rendez-vous, pour ne pas les laisser conserver ces données indéfiniment et pour que les patients puissent avoir la main dessus.
En France, c’est la Cnil qui est chargée de faire respecter le RGPD. Mais la pratique n’est pas aussi simple que la théorie, et Doctolib surfe sur une nuance qui peut poser question. En effet, la plateforme ne se déclare juridiquement que comme un prestataire de rendez-vous en ligne.
Par conséquent, si vous souhaitez récupérer l’ensemble de vos données recueillies par la plateforme, Doctolib ne vous enverra que peu d’informations. Le reste, il faudra le demander au cas par cas avec chaque praticien. C’est eux qui sont tenus “responsables du traitement des données”, ce qui a de quoi agacer certains utilisateurs sur Twitter.
C’est très mal parti. Je n’ai rien reçu en pièce jointe, on me donne mes informations basiques de compte. Aucun export des rendez-vous. Ils sont pourtant bien rattachés à mon compte lorsque je suis connecté. pic.twitter.com/PdXIri8kL6
— Antoine Augusti (@AntoineAugusti) December 31, 2019
Interrogé par Franceinfo, l’ancien directeur juridique de la Cnil se lamentait justement de cette situation. “Imaginez la difficulté pour un patient s’il doit contacter chaque médecin consulté pour exercer son droit d’accès, alors que toutes les données sont facilement accessibles par Doctolib !”, qui proposait à ce que Doctolib soit tenu “co-responsable” du traitement des données pour encadrer plus fortement son activité.
À ce sujet, son statut juridique ne lui ordonne pas d’obtenir votre consentement pour utiliser vos données. Autrement dit, même si vous n’avez pas de compte sur Doctolib, la plateforme se réserve le droit d’utiliser les informations que vous communiquerait lors de la prise de rendez-vous avec un praticien.
Outre le contrôle des données, Doctolib soulève des questions autour de son stockage. Elle martèle de ne pas revendre ces données, mais Franceinfo rappelait par exemple qu’il est tout à fait légal de revendre des données à partir du moment où celles-ci sont rendues anonymes. Cela dit, jusqu’à ce jour, aucune preuve formelle n’a prouvé une telle activité auprès d’organismes extérieurs ni dans un usage publicitaire.
Mais le feu continuera longtemps de brûler : Doctolib héberge ses données chiffrées sur un service appartenant à Amazon et le secteur de la santé rappellera toujours celui de l’industrie pharmaceutique et ses travers. En attendant, 2300 salariés Doctolib continuent de travailler sur la protection des données et visent “les enclaves sécurisées et le chiffrement homomorphe, afin de créer des fonctionnalités avancées et sécurisées pour les patients et le personnel de santé”.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
