Des dizaines de millions de patients font transiter par la plateforme des informations hautement sensibles : l'historique de leur rendez-vous avec des praticiens, parfois le motif de leur consultation et même des ordonnances après des téléconsultations.

Il se dirige vers les ascenseurs, avant de marquer l'arrêt. "Je crois qu'en prenant ces escaliers, on devrait arriver aux salles de réunion." Stanislas Niox-Chateau se perd encore un peu dans le grand immeuble moderne de Levallois-Perret (Hauts-de-Seine) qui accueille ses équipes depuis janvier. C'est que tout est allé très vite pour le jeune trentenaire, fondateur de Doctolib, que franceinfo a rencontré jeudi 13 février.

Lancée fin 2013, l'application qui permet aux patients de prendre rendez-vous avec un médecin en quelques clics et aux professionnels de santé de faciliter la gestion de leur cabinet a connu une croissance fulgurante. Avec ses 1 300 salariés et ses embauches à tour de bras, Doctolib a même rejoint en mars 2019 Deezer et Blablacar dans le cercle très fermé des licornes françaises, ces entreprises valorisées à plus d'un milliard d'euros.

Doctolib doit sa réussite à un véritable trésor de guerre : son nombre d'utilisateurs. Selon ses chiffres, pas moins d'un Français sur deux utiliserait ses services pour gérer ses rendez-vous médicaux. Des dizaines de millions de patients qui font transiter par la plateforme des informations importantes, et hautement sensibles : l'historique de leur rendez-vous avec des praticiens, parfois le motif de leur consultation, et, depuis quelques mois, des ordonnances après des téléconsultations. Que dit la réglementation sur la gestion de ces données ? Doctolib la respecte-t-elle ? Comment sont protégées ces informations sensibles ? Franceinfo a enquêté.

Une notion redéfinie en mai 2018

Lorsque vous utilisez Doctolib pour prendre rendez-vous chez votre dermatologue, par exemple, vous transmettez deux types d'informations bien distinctes à la plateforme : d'un côté, vos données personnelles (nom, adresse e-mail, numéro de téléphone…) ; de l'autre, vos données de santé (rendez-vous avec un praticien, motif de la consultation, ordonnance numérisée après une téléconsultation...). Si cette distinction peut sembler évidente, elle est en fait assez récente. "Auparavant, la loi ne qualifiait de données de santé que les données relatives aux pathologies, comme par exemple le fait d'indiquer que Monsieur X est atteint de tel type de cancer", explique à franceinfo Guillaume Desgens-Pasanau, ancien directeur juridique de la Cnil, le gendarme français du respect des données personnelles.

Des informations comme le niveau de correction visuelle ou la prise de rendez-vous avec tel ou tel praticien bénéficiaient d'une sorte de 'zone grise', et n'étaient pas formellement considérées comme des données de santé.Guillaume Desgens-Pasanauà franceinfo

Le Règlement général sur la protection des données (RGPD) dans l'Union européenne a considérablement changé les choses. Entré en vigueur en mai 2018, ce texte a élargi la conception de données de santé, notamment aux cas cités plus haut. Avec cet élargissement de la notion légale de données de santé, "de nombreuses entités qui manipulaient ce type d'informations ont eu une responsabilité plus importante vis-à-vis de la réglementation", poursuit Guillaume Desgens-Pasanau.

La nouvelle législation demande en effet des précautions particulières aux entreprises ou administrations qui collectent ces données jugées sensibles. Ce qui est le cas de Doctolib. Comme l'indique le guide pratique (PDF) coédité par la Cnil et le Conseil national de l'Ordre des médecins à destination des professionnels de santé, le RGPD impose que les données issues de la prise de rendez-vous soient traitées de la même manière que les dossiers médicaux des patients. Pas question par exemple de vous réclamer des informations autres que celles "strictement nécessaires" à votre parcours de soin – la collecte d'informations sur votre vie familiale n'est par exemple en principe pas appropriée. L'accès aux données de santé doit également être restreint autant que possible, leur contenu sécurisé et la Cnil doit être prévenue en cas de violation de celles-ci.

Les locaux de Doctolib, alors situés à Paris, le 3 avril 2019. (MAXPPP)

Le RGPD impose également que vos données de santé ne soient pas conservées indéfiniment, et que vous puissiez y accéder facilement, voire les effacer. Vous devez enfin donner votre consentement libre, spécifique, éclairé et univoque à la collecte de vos données de santé si l'entité qui récupère ces informations n'est pas un professionnel de santé ou un prestataire agissant pour son compte. Ce qui est loin d'être un détail, comme nous le verrons plus tard.

Impossible d'avoir un historique des rendez-vous

Interrogé par franceinfo, Stanislas Niox-Chateau martèle que les utilisateurs de Doctolib ont "le contrôle exclusif" de leurs données de santé. Hélas, il leur est assez difficile de le constater : si vous réclamez à Doctolib de vous communiquer les données qu'ils possèdent à votre sujet, comme le RGPD le prévoit, ne vous attendez pas à recevoir un énorme fichier récapitulant votre parcours de soin ces dernières années. La plateforme ne vous communiquera que des informations succinctes, comme votre identité, votre date de naissance, coordonnées et la date de création de votre compte, comme le signale sur Twitter un internaute qui a tenté sa chance.

C'est très mal parti. Je n'ai rien reçu en pièce jointe, on me donne mes informations basiques de compte. Aucun export des rendez-vous. Ils sont pourtant bien rattachés à mon compte lorsque je suis connecté. pic.twitter.com/PdXIri8kL6 — Antoine Augusti (@AntoineAugusti) December 31, 2019

Pourquoi Doctolib ne communique pas à ses utilisateurs l'historique de leurs rendez-vous médicaux, alors même que celui-ci est accessible en un clic depuis la page d'accueil de son site internet ? La réponse se trouve là encore dans l'application du RGPD recommandée par la Cnil et le Conseil national de l'ordre des médecins : en tant que plateforme de prise de rendez-vous en ligne, Doctolib n'est considérée que comme un simple prestataire des 115 000 praticiens de santé et près de 2 000 établissements de soin qui font appel chaque jour à ses services. Ce sont eux qui, individuellement, restent légalement considérés comme les "responsables de traitement", c'est-à-dire les gestionnaires des données de santé qui leur sont confiées.

Je comprends que cela puisse être contre-intuitif pour les utilisateurs, mais c'est la loi.Stanislas Niox-Chateauà franceinfo

Et le patron de Doctolib de préciser que sa plateforme aide les professionnels de santé à garder la main sur leur base de données à l'aide d'une fonctionnalité leur permettant d'exporter les informations concernant leurs patients qui souhaiteraient accéder à leurs données médicales.

Des explications qui ne convainquent pas Guillaume Desgens-Pasanau. "Imaginez la difficulté pour un patient s'il doit contacter chaque médecin consulté pour exercer son droit d'accès, alors que toutes les données sont facilement accessibles par Doctolib!" proteste l'ancien directeur juridique de la Cnil.



L'esprit du RGPD est au contraire de faciliter l'exercice de leurs droits par les personnes concernées, et responsabiliser des 'prestataires' informatiques qui en réalité sont seuls décisionnaires sur les modalités de fonctionnement de leur système d'information.Guillaume Desgens-Pasanauà franceinfo

Selon ce spécialiste, il conviendrait de distinguer juridiquement l'activité d'aide à la gestion de cabinet de Doctolib de celle de prise de rendez-vous, bien connue du grand public. L'entreprise pourrait ainsi être considérée comme simple prestataire des professionnels de santé mais aussi être qualifiée de responsable ou de co-responsable du traitement des données de ses utilisateurs. Une pratique "tout à fait possible sur le plan juridique et courante dans la pratique", estime Guillaume Desgens-Pasanau.

Pratiques surprenantes mais légales

Le fait que Doctolib soit considéré par la réglementation comme un prestataire des praticiens de santé qui font appel à ses services a de nombreuses conséquences. Outre le fait que le géant de la santé numérique ne communique pas à ses utilisateurs l'historique de ses rendez-vous médicaux, l'entreprise n'a sur le papier pas besoin d'obtenir votre consentement pour collecter vos données, tant que celles-ci sont utilisées pour la finalité recherchée, à savoir la prise de rendez-vous de santé.

Sur les réseaux sociaux, plusieurs internautes se sont ainsi étonnés de recevoir des SMS de la part de Doctolib pour leur rappeler l'approche d'une consultation, alors même que ces patients ne disposaient pas de compte sur la plateforme et avaient pris rendez-vous par téléphone avec leur praticien de santé. Surprenant, mais pas illégal : si leur professionnel de santé utilise Doctolib comme logiciel de gestion de ses rendez-vous, il n'a juridiquement aucune obligation d'informer ses patients avant d'entrer leurs coordonnées dans la plateforme. Doctolib n'aura toutefois pas l'autorisation de les utiliser à d'autres fins que celles prévues par le praticien de santé.

Doctolib permet à ses utilisateurs de prendre en quelques clics un rendez-vous avec l'un des 115 000 praticiens abonnés à ses services. (MAXPPP)

D'autres patients se sont émus de recevoir de la part de Doctolib un courriel contenant un questionnaire leur demandant leur avis sur une consultation récente. Là encore, l'entreprise joue un rôle d'intermédiaire : dans un billet de blog, elle rappelle qu'aucun système d'évaluation publique n'est intégré à son logiciel et assure n'envoyer ce questionnaire qu'à la demande du praticien concerné, ne pas publier les résultats ni même y accéder.

Les médecins sont-ils au fait de ces subtilités juridiques et de leurs implications ? Sur son site internet, Doctolib indique informer "clairement les professionnels de santé et les patients sur sa politique de protection des données personnelles de santé avant qu'ils utilisent ses services" et précise que les documents détaillant sa politique de protection des données "sont joints au contrat d'abonnement des professionnels de santé et ces derniers doivent en accepter les termes pour pouvoir utiliser Doctolib".

De la méconnaissance des médecins

En pratique, les choses sont un peu différentes, et le corps médical n'est pas davantage porté sur la lecture des conditions d'utilisation d'un service que le commun des mortels. "Il y a peut-être 10% de la profession qui est au fait de ces sujets. La majorité n'en a rien à faire et se concentre sur les soins", répond avec une franchise désarmante le professeur Stéphane Oustric, délégué général aux données de santé et au numérique du Conseil national de l'ordre des médecins.

La plupart des médecins disposent d'une messagerie sécurisée, achètent un logiciel dont l'éditeur se dit certifié ou garanti conforme au RGPD et ne se pose pas de question tant que le programme est sympa et facile d'utilisation.Stéphane Oustricà franceinfo

"Il y a une certaine impréparation" de la profession, acquiesce Pascal Charbonnel, médecin généraliste anciennement chargé des questions numériques au sein du Collège de la médecine générale. Pour ce spécialiste, "il y a une vraie différence entre la culture du secret médical, bien connu et pratiqué de manière cohérente chez les médecins, et le niveau d'information sur la protection des données" récoltées par les plateformes en ligne.

Afin de rendre plus intelligible son fonctionnement sur ces sujets, Doctolib a publié mercredi 12 février deux chartes de protection des données de santé, signées de la main de Stanislas Niox-Chateau, l'une destinée aux professionnels de santé et l'autre aux patients (PDF).

Des sous-traitants pour stocker ces données

Vous l'ignorez peut-être mais Doctolib ne stocke pas lui-même les données de santé de ses millions d'utilisateurs. L'entreprise sous-traite en fait cette activité à plusieurs prestataires – dont la division "Web Services" du géant Amazon – labellisés "hébergeurs de données de santé" (HDS) par des organismes de certifications agréés par les autorités.

Un document sur la contribution de Doctolib à la stratégie de transformation du système de santé, le 24 septembre 2019 dans les locaux de l'entreprise. (MAXPPP)

"Nous travaillons avec plusieurs dispositifs de sécurité informatique", comme des antivirus, des pare-feu ou des mécanismes de protection contre les attaques par déni de service, détaille auprès de franceinfo Camille Cacheux, directeur général de Coreye, l'un de ces hébergeurs de données de santé, qui travaille avec plus d'une centaine de clients, dont Doctolib. "Nous utilisons également des clés de chiffrement spécifiques, que nous transmettons à nos clients de telle sorte qu'ils soient les seuls en mesure d'avoir accès aux données de santé." Coreye indique être également en mesure d'identifier les éventuelles tentatives d'intrusion dans leurs bases de données, et de rétablir l'intégrité des informations stockées en cas d'attaque.

Doctolib, qui revendique le chiffrement "systématique" de toutes les données de santé de ses utilisateurs, assure que seuls les praticiens de santé et les patients sont techniquement en mesure de consulter leur contenu grâce à un système d'identification par adresse e-mail et mot de passe. A deux exceptions près, précise Stanislas Niox-Chateau à franceinfo : "Quand nous créons le compte Doctolib d'un praticien et que nous y importons la base de données du logiciel qu'il utilisait auparavant, ce que font également tous nos concurrents, et quand un professionnel nous demande des opérations de maintenance ou d'assistance." Un bouton lui permet alors de donner aux équipes de Doctolib un accès temporaire à ses données, tout en restant sous sa supervision et avec une obligation de confidentialité.

Vendre des données anonymisées n'est pas interdit

Doctolib pourrait-il décider de vendre vos données de santé ? Non. Comme l'indique Doctolib dans sa charte récemment publiée, la vente de données personnelles de santé est de toute façon punie par la loi de 5 ans d'emprisonnement et de 300 000 euros d'amende. Mais l'article L1111-8 du Code de la santé publique qui définit cette infraction précise qu'il n'est interdit de vendre que les données de santé qui peuvent être directement ou indirectement liées à l'identité des patients. Or, Doctolib est assis sur une montagne de données que l'entreprise pourrait en théorie monnayer au plus offrant, tant que la fameuse ligne rouge de l'identification des patients n'est pas franchie.

L'entreprise de Stanislas Niox-Chateau ne se prive d'ailleurs pas d'utiliser ces données anonymisées pour vanter les mérites de son offre. La plateforme précise d'ailleurs sur son site internet le faire au nom de "l'intérêt légitime de Doctolib à produire des données statistiques anonymisées relatives à [son] impact sur l'activité des professionnels de santé (...) afin de communiquer sur son outil".

Avec Doctolib, 1 patient sur 3 prend rendez-vous chez son médecin le soir ou le week-end, lorsque le cabinet est fermé.

➡️La prise de rendez-vous en ligne fait gagner un temps précieux aux patients comme aux praticiens ! pic.twitter.com/SdDUFstOQs — Doctolib (@doctolib) March 7, 2018

"Je suis sûr que le ministère de la Santé serait prêt à payer fort cher l'accès aux données de Doctolib, pour par exemple l'aider à étudier à la loupe les délais de prise en charge dans les hôpitaux où ce système est installé", estime le docteur Pascal Charbonnel, membre du Collège de la médecine générale. Un avis partagé par Jean-Paul Hamon, président de la Fédération des médecins de France, qui juge auprès de franceinfo que les "fichiers de Doctolib valent de l'or" et qui se dit convaincu que "l'ambition de l'entreprise, dont le fondateur a participé au développement du site de réservation LaFourchette, ne s'arrête pas à la prise de rendez-vous mais vise à dominer tout le secteur de la santé numérique".

Doctolib critique un "procès d'intention"

Cette crainte de voir Doctolib vendre des données anonymisées a le don d'agacer Stanislas Niox-Chateau, qui préfère insister sur "l'amélioration de l'accès aux soins" apportée par son application, et répète qu'il est "difficile d'être plus jusqu'au-boutistes" que ses équipes sur les questions éthiques. "Plusieurs de nos concurrents anonymisent leurs données et les vendent à l'industrie pharmaceutique sans que personne n'y trouve rien à redire !" s'insurge l'entrepreneur, qui dénonce la "désinformation" et les "procès d'intention" qui viseraient trop souvent son entreprise. Et martèle que le modèle économique de Doctolib restera basé sur l'abonnement versé chaque mois par les praticiens et les établissements de santé.

Ni les patients, ni les praticiens avec qui nous co-construisons notre outil n'ont donné leur consentement pour cela. Nous continuerons à innover, mais nous ne le ferons pas.Stanislas Niox-Chateau, fondateur de Doctolibà franceinfo

Valorisé à plus d'un milliard d'euros, leader européen d'un secteur de la santé numérique unanimement considéré comme porteur… Sur le papier, Doctolib a des arguments solides pour séduire l'un des géants américains de la technologie. Vos données de santé seraient-elles en péril si la licorne française venait à passer sous pavillon américain ? "Non !" répondent en chœur tous les spécialistes du sujet interrogés par franceinfo.

"Si Doctolib était racheté par un acteur américain, les mêmes obligations au sens du RGPD pèseront sur lui car le RGPD a un effet extraterritorial : il s'applique à des responsables de traitement établis en dehors de l'Union européenne, mais qui traitent des données concernant des personnes établies dans l'Union", détaille Guillaume Desgens-Pasanau. Mais l'ancien directeur juridique de la Cnil s'empresse d'apporter une précision : "Si Doctolib n'était qu'un simple sous-traitant des praticiens de santé comme il prétend l'être, il ne serait certainement pas susceptible d'intéresser l'un des Gafam [acronyme de Google, Apple, Facebook, Amazon et Microsoft], car sa vraie valeur réside dans le contenu de sa base de données, et pas le fait qu'il soit un prestataire de prise de rendez-vous !"