Reader TTS

Des dizaines de millions de patients font transiter par la plateforme des informations hautement sensibles : l'historique de leur rendez-vous avec des praticiens, parfois le motif de

leur consultation et même des ordonnances après des téléconsultations. Il se dirige vers les ascenseurs, avant de marquer l'arrêt. _"Je crois qu'en prenant ces escaliers, on

devrait arriver aux salles de réunion."_ Stanislas Niox-Chateau se perd encore un peu dans le grand immeuble moderne de Levallois-Perret (Hauts-de-Seine) qui accueille ses équipes

depuis janvier. C'est que tout est allé très vite pour le jeune trentenaire, fondateur de Doctolib, que franceinfo a rencontré jeudi 13 février. Lancée fin 2013, l'application qui

permet aux patients de prendre rendez-vous avec un médecin en quelques clics et aux professionnels de santé de faciliter la gestion de leur cabinet a connu une croissance fulgurante. Avec

ses 1 300 salariés et ses embauches à tour de bras, Doctolib a même rejoint en mars 2019 Deezer et Blablacar dans le cercle très fermé des licornes françaises, ces entreprises valorisées à

plus d'un milliard d'euros. Doctolib doit sa réussite à un véritable trésor de guerre : son nombre d'utilisateurs. Selon ses chiffres, pas moins d'un Français sur deux

utiliserait ses services pour gérer ses rendez-vous médicaux. Des dizaines de millions de patients qui font transiter par la plateforme des informations importantes, et hautement sensibles :

l'historique de leur rendez-vous avec des praticiens, parfois le motif de leur consultation, et, depuis quelques mois, des ordonnances après des téléconsultations. Que dit la

réglementation sur la gestion de ces données ? Doctolib la respecte-t-elle ? Comment sont protégées ces informations sensibles ? Franceinfo a enquêté. Lorsque vous utilisez Doctolib pour

prendre rendez-vous chez votre dermatologue, par exemple, vous transmettez deux types d'informations bien distinctes à la plateforme : d'un côté, vos données personnelles (nom,

adresse e-mail, numéro de téléphone…) ; de l'autre, vos données de santé (rendez-vous avec un praticien, motif de la consultation, ordonnance numérisée après une téléconsultation...).

Si cette distinction peut sembler évidente, elle est en fait assez récente. _"Auparavant, la loi ne qualifiait de données de santé que les données relatives aux pathologies, comme par

exemple le fait d'indiquer que Monsieur X est atteint de tel type de cancer"_, explique à franceinfo Guillaume Desgens-Pasanau, ancien directeur juridique de la Cnil, le gendarme

français du respect des données personnelles. > Des informations comme le niveau de correction visuelle ou la prise > de rendez-vous avec tel ou tel praticien bénéficiaient d'une 

sorte > de 'zone grise', et n'étaient pas formellement considérées comme > des données de santé. >  > Guillaume Desgens-Pasanau > à franceinfo Le Règlement

général sur la protection des données (RGPD) dans l'Union européenne a considérablement changé les choses. Entré en vigueur en mai 2018, ce texte a élargi la conception de données de

santé, notamment aux cas cités plus haut. Avec cet élargissement de la notion légale de données de santé, _"de nombreuses entités qui manipulaient ce type d'informations ont eu une

responsabilité plus importante vis-à-vis de la réglementation"_, poursuit Guillaume Desgens-Pasanau. La nouvelle législation demande en effet des précautions particulières aux

entreprises ou administrations qui collectent ces données jugées sensibles. Ce qui est le cas de Doctolib. Comme l'indique le guide pratique _(PDF)_ coédité par la Cnil et le Conseil

national de l'Ordre des médecins à destination des professionnels de santé, le RGPD impose que les données issues de la prise de rendez-vous soient traitées de la même manière que les

dossiers médicaux des patients. Pas question par exemple de vous réclamer des informations autres que celles_ "strictement nécessaires"_ à votre parcours de soin – la collecte

d'informations sur votre vie familiale n'est par exemple en principe pas appropriée. L'accès aux données de santé doit également être restreint autant que possible, leur

contenu sécurisé et la Cnil doit être prévenue en cas de violation de celles-ci. Le RGPD impose également que vos données de santé ne soient pas conservées indéfiniment, et que vous puissiez

y accéder facilement, voire les effacer. Vous devez enfin donner votre consentement libre, spécifique, éclairé et univoque à la collecte de vos données de santé si l'entité qui

récupère ces informations n'est pas un professionnel de santé ou un prestataire agissant pour son compte. Ce qui est loin d'être un détail, comme nous le verrons plus tard.

Interrogé par franceinfo, Stanislas Niox-Chateau martèle que les utilisateurs de Doctolib ont _"le contrôle exclusif"_ de leurs données de santé. Hélas, il leur est assez difficile

de le constater : si vous réclamez à Doctolib de vous communiquer les données qu'ils possèdent à votre sujet, comme le RGPD le prévoit, ne vous attendez pas à recevoir un énorme

fichier récapitulant votre parcours de soin ces dernières années. La plateforme ne vous communiquera que des informations succinctes, comme votre identité, votre date de naissance,

coordonnées et la date de création de votre compte, comme le signale sur Twitter un internaute qui a tenté sa chance. > C'est très mal parti. Je n'ai rien reçu en pièce jointe, 

on me > donne mes informations basiques de compte. Aucun export des > rendez-vous. Ils sont pourtant bien rattachés à mon compte lorsque > je suis connecté. 

pic.twitter.com/PdXIri8kL6 > — Antoine Augusti (@AntoineAugusti) December 31, 2019 Pourquoi Doctolib ne communique pas à ses utilisateurs l'historique de leurs rendez-vous médicaux,

alors même que celui-ci est accessible en un clic depuis la page d'accueil de son site internet ? La réponse se trouve là encore dans l'application du RGPD recommandée par la Cnil

et le Conseil national de l'ordre des médecins : en tant que plateforme de prise de rendez-vous en ligne, Doctolib n'est considérée que comme un simple prestataire des 115 000

praticiens de santé et près de 2 000 établissements de soin qui font appel chaque jour à ses services. Ce sont eux qui, individuellement, restent légalement considérés comme les_

"responsables de traitement"_, c'est-à-dire les gestionnaires des données de santé qui leur sont confiées. > Je comprends que cela puisse être contre-intuitif pour les >

 utilisateurs, mais c'est la loi. >  > Stanislas Niox-Chateau > à franceinfo Et le patron de Doctolib de préciser que sa plateforme aide les professionnels de santé à garder la

main sur leur base de données à l'aide d'une fonctionnalité leur permettant d'exporter les informations concernant leurs patients qui souhaiteraient accéder à leurs données

médicales. Des explications qui ne convainquent pas Guillaume Desgens-Pasanau. _"Imaginez la difficulté pour un patient s'il doit contacter chaque médecin consulté pour exercer son

droit d'accès, alors que toutes les données sont facilement accessibles par Doctolib!"_ proteste l'ancien directeur juridique de la Cnil. > L'esprit du RGPD est au 

contraire de faciliter l'exercice de leurs > droits par les personnes concernées, et responsabiliser des > 'prestataires' informatiques qui en réalité sont seuls > 

décisionnaires sur les modalités de fonctionnement de leur > système d'information. >  > Guillaume Desgens-Pasanau > à franceinfo Selon ce spécialiste, il conviendrait de

distinguer juridiquement l'activité d'aide à la gestion de cabinet de Doctolib de celle de prise de rendez-vous, bien connue du grand public. L'entreprise pourrait ainsi être

considérée comme simple prestataire des professionnels de santé mais aussi être qualifiée de responsable ou de co-responsable du traitement des données de ses utilisateurs. Une pratique

_"tout à fait possible sur le plan juridique et courante dans la pratique"_, estime Guillaume Desgens-Pasanau. Le fait que Doctolib soit considéré par la réglementation comme un

prestataire des praticiens de santé qui font appel à ses services a de nombreuses conséquences. Outre le fait que le géant de la santé numérique ne communique pas à ses utilisateurs

l'historique de ses rendez-vous médicaux, l'entreprise n'a sur le papier pas besoin d'obtenir votre consentement pour collecter vos données, tant que celles-ci sont

utilisées pour la finalité recherchée, à savoir la prise de rendez-vous de santé. Sur les réseaux sociaux, plusieurs internautes se sont ainsi étonnés de recevoir des SMS de la part de

Doctolib pour leur rappeler l'approche d'une consultation, alors même que ces patients ne disposaient pas de compte sur la plateforme et avaient pris rendez-vous par téléphone avec

leur praticien de santé. Surprenant, mais pas illégal : si leur professionnel de santé utilise Doctolib comme logiciel de gestion de ses rendez-vous, il n'a juridiquement aucune

obligation d'informer ses patients avant d'entrer leurs coordonnées dans la plateforme. Doctolib n'aura toutefois pas l'autorisation de les utiliser à d'autres fins

que celles prévues par le praticien de santé. D'autres patients se sont émus de recevoir de la part de Doctolib un courriel contenant un questionnaire leur demandant leur avis sur une

consultation récente. Là encore, l'entreprise joue un rôle d'intermédiaire : dans un billet de blog, elle rappelle qu'aucun système d'évaluation publique n'est

intégré à son logiciel et assure n'envoyer ce questionnaire qu'à la demande du praticien concerné, ne pas publier les résultats ni même y accéder. Les médecins sont-ils au fait de

ces subtilités juridiques et de leurs implications ? Sur son site internet, Doctolib indique informer _"clairement les professionnels de santé et les patients sur sa politique de

protection des données personnelles de santé avant qu'ils utilisent ses services"_ et précise que les documents détaillant sa politique de protection des données _"sont joints

au contrat d'abonnement des professionnels de santé et ces derniers doivent en accepter les termes pour pouvoir utiliser Doctolib"_. En pratique, les choses sont un peu

différentes, et le corps médical n'est pas davantage porté sur la lecture des conditions d'utilisation d'un service que le commun des mortels. _"Il y a peut-être 10% de

la profession qui est au fait de ces sujets. La majorité n'en a rien à faire et se concentre sur les soins"_, répond avec une franchise désarmante le professeur Stéphane Oustric,

délégué général aux données de santé et au numérique du Conseil national de l'ordre des médecins. > La plupart des médecins disposent d'une messagerie sécurisée, > achètent 

un logiciel dont l'éditeur se dit certifié ou garanti > conforme au RGPD et ne se pose pas de question tant que le > programme est sympa et facile d'utilisation. >  > 

Stéphane Oustric > à franceinfo _"Il y a une certaine impréparation"_ de la profession, acquiesce Pascal Charbonnel, médecin généraliste anciennement chargé des questions

numériques au sein du Collège de la médecine générale. Pour ce spécialiste,_ "il y a une vraie différence entre la culture du secret médical, bien connu et pratiqué de manière cohérente

chez les médecins, et le niveau d'information sur la protection des données"_ récoltées par les plateformes en ligne. Afin de rendre plus intelligible son fonctionnement sur ces

sujets, Doctolib a publié mercredi 12 février deux chartes de protection des données de santé, signées de la main de Stanislas Niox-Chateau, l'une destinée aux professionnels de santé

et l'autre aux patients _(PDF)_. Vous l'ignorez peut-être mais Doctolib ne stocke pas lui-même les données de santé de ses millions d'utilisateurs. L'entreprise

sous-traite en fait cette activité à plusieurs prestataires – dont la division "Web Services" du géant Amazon – labellisés _"hébergeurs de données de santé"_ (HDS) par

des organismes de certifications agréés par les autorités.  _"Nous travaillons avec plusieurs dispositifs de sécurité informatique"_, comme des antivirus, des pare-feu ou des

mécanismes de protection contre les attaques par déni de service, détaille auprès de franceinfo Camille Cacheux, directeur général de Coreye, l'un de ces hébergeurs de données de santé,

qui travaille avec plus d'une centaine de clients, dont Doctolib_. "Nous utilisons également des clés de chiffrement spécifiques, que nous transmettons à nos clients de telle

sorte qu'ils soient les seuls en mesure d'avoir accès aux données de santé." _Coreye indique être également en mesure d'identifier les éventuelles tentatives

d'intrusion dans leurs bases de données, et de rétablir l'intégrité des informations stockées en cas d'attaque. Doctolib, qui revendique le chiffrement

_"systématique"_ de toutes les données de santé de ses utilisateurs, assure que seuls les praticiens de santé et les patients sont techniquement en mesure de consulter leur contenu

grâce à un système d'identification par adresse e-mail et mot de passe. A deux exceptions près, précise Stanislas Niox-Chateau à franceinfo : _"Quand nous créons le compte

Doctolib d'un praticien et que nous y importons la base de données du logiciel qu'il utilisait auparavant, ce que font également tous nos concurrents, et quand un professionnel

nous demande des opérations de maintenance ou d'assistance." _Un bouton lui permet alors de donner aux équipes de Doctolib un accès temporaire à ses données, tout en restant sous

sa supervision et avec une obligation de confidentialité. Doctolib pourrait-il décider de vendre vos données de santé ? Non. Comme l'indique Doctolib dans sa charte récemment publiée,

la vente de données personnelles de santé est de toute façon punie par la loi de 5 ans d'emprisonnement et de 300 000 euros d'amende. Mais l'article L1111-8 du Code de la

santé publique qui définit cette infraction précise qu'il n'est interdit de vendre que les données de santé qui peuvent être directement ou indirectement liées à l'identité

des patients. Or, Doctolib est assis sur une montagne de données que l'entreprise pourrait en théorie monnayer au plus offrant, tant que la fameuse ligne rouge de l'identification

des patients n'est pas franchie. L'entreprise de Stanislas Niox-Chateau ne se prive d'ailleurs pas d'utiliser ces données anonymisées pour vanter les mérites de son

offre. La plateforme précise d'ailleurs sur son site internet le faire au nom de _"l'intérêt légitime de Doctolib à produire des données statistiques anonymisées relatives à

_[son]_ impact sur l'activité des professionnels de santé (...) afin de communiquer sur son outil"_. > Avec Doctolib, 1 patient sur 3 prend rendez-vous chez son médecin > le 

soir ou le week-end, lorsque le cabinet est fermé. > ➡️La prise de rendez-vous en ligne fait gagner un temps > précieux aux patients comme aux praticiens ! > 

pic.twitter.com/SdDUFstOQs > — Doctolib (@doctolib) March 7, 2018 _"Je suis sûr que le ministère de la Santé serait prêt à payer fort cher l'accès aux données de Doctolib, pour

par exemple l'aider à étudier à la loupe les délais de prise en charge dans les hôpitaux où ce système est installé"_, estime le docteur Pascal Charbonnel, membre du Collège de la

médecine générale. Un avis partagé par Jean-Paul Hamon, président de la Fédération des médecins de France, qui juge auprès de franceinfo que les _"fichiers de Doctolib valent de

l'or"_ et qui se dit convaincu que _"l'ambition de l'entreprise, dont le fondateur a participé au développement du site de réservation LaFourchette, ne s'arrête

pas à la prise de rendez-vous mais vise à dominer tout le secteur de la santé numérique"_. Cette crainte de voir Doctolib vendre des données anonymisées a le don d'agacer

Stanislas Niox-Chateau, qui préfère insister sur _"l'amélioration de l'accès aux soins"_ apportée par son application, et répète qu'il est _"difficile

d'être plus jusqu'au-boutistes"_ que ses équipes sur les questions éthiques. _"Plusieurs de nos concurrents anonymisent leurs données et les vendent à l'industrie

pharmaceutique sans que personne n'y trouve rien à redire !"_ s'insurge l'entrepreneur, qui dénonce la _"désinformation"_ et les _"procès

d'intention"_ qui viseraient trop souvent son entreprise. Et martèle que le modèle économique de Doctolib restera basé sur l'abonnement versé chaque mois par les praticiens et

les établissements de santé. > Ni les patients, ni les praticiens avec qui nous co-construisons > notre outil n'ont donné leur consentement pour cela. Nous > continuerons à 

innover, mais nous ne le ferons pas. >  > Stanislas Niox-Chateau, fondateur de Doctolib > à franceinfo Valorisé à plus d'un milliard d'euros, leader européen d'un

secteur de la santé numérique unanimement considéré comme porteur… Sur le papier, Doctolib a des arguments solides pour séduire l'un des géants américains de la technologie. Vos données

de santé seraient-elles en péril si la licorne française venait à passer sous pavillon américain ? _"Non !"_ répondent en chœur tous les spécialistes du sujet interrogés par

franceinfo. _"Si Doctolib était racheté par un acteur américain, les mêmes obligations au sens du RGPD pèseront sur lui car le RGPD a un effet extraterritorial : il s'applique à

des responsables de traitement établis en dehors de l'Union européenne, mais qui traitent des données concernant des personnes établies dans l'Union"_, détaille Guillaume

Desgens-Pasanau. Mais l'ancien directeur juridique de la Cnil s'empresse d'apporter une précision :_ "Si Doctolib n'était qu'un simple sous-traitant des

praticiens de santé comme il prétend l'être, il ne serait certainement pas susceptible d'intéresser l'un des Gafam_ [acronyme de Google, Apple, Facebook, Amazon et

Microsoft]_, car sa vraie valeur réside dans le contenu de sa base de données, et pas le fait qu'il soit un prestataire de prise de rendez-vous !"_