Opposons-nous à ce que Doctolib « nourrisse » l’IA avec nos données de santé !
Communiqué LDH
Depuis début juillet les patientes et patients ayant un compte Doctolib reçoivent un message électronique dont l’objet semble à première vue réjouissant : « Doctolib s'engage dans la recherche pour améliorer la santé ! ».
Doctolib annonce la création d’un « laboratoire de recherche en santé » en collaboration avec « une équipe de recherche associée à trois institutions scientifiques françaises de premier plan (Inria, Inserm et Université Paris Cité) » pour « améliorer les parcours de soins grâce à l'intelligence artificielle » !
Il est notoire que les systèmes d’intelligence artificielle (IA) nécessitent pour fonctionner des masses de données, et Doctolib veut utiliser pour faire fonctionner ce laboratoire, les « données démographiques et de santé nécessaires » de ses quelques 60 millions de patientes et patients (qu’elles et ils aient un compte ou soient juste obligés de passer par ce système pour obtenir un rendez-vous, que ces données aient été renseignées par les patientes patients en leur nom ou celui des membres de leur famille sur leur compte, ou par leurs soignantes et soignants.)
Se prévalant d’un « intérêt légitime à conduire des recherches scientifiques dans le but d'améliorer les soins pour tous » Doctolib déclare appliquer la méthodologie de référence MR004 définie par la Commission nationale de l'informatique et des libertés (Cnil) afin d’encadrer la recherche en santé et garantir la protection des données personnelles, sans que l’on sache à ce jour si la Cnil en a été saisie. Cette démarche appelée « intérêt légitime » oblige Doctolib à informer les patientes et patients de cette réutilisation de leurs données. Mais plutôt que demander leur consentement aux patientes et patients par « l’Opt-in » (démarche volontaire de la patiente ou du patient pour que ses données soient utilisées) Doctolib a choisi la méthode « d’Opt-out », c’est-à-dire un accord par défaut. Nettement moins protectrice, cette méthode présuppose que la patiente ou le patient ait effectivement reçu le mail, l’ait lu et compris et ait rempli et envoyé le formulaire de refus, accessible par un lien au bas du message, ceci avant le mois d’août, afin que ses données ne soient pas utilisées.
La LDH (Ligue des droits de l'Homme / droits humains) souligne que les données de santé constituent des données sensibles, touchant à l’intimité la plus profonde de l’individu. Recensant des éléments de diagnostics, traitements médicaux et historiques de santé, elles emportent un risque non -négligeable de stigmatisation, discrimination
et profilage abusif. La méthode de la « pseudonymisation » mise en œuvre par Doctolib pour le traitement de ces données ne doit par ailleurs pas être confondue avec celle de l’anonymisation, dans la mesure où elle permet une réidentification des patientes et patients par diverses méthodes techniques.
La LDH rappelle que les critiques antérieures et recours contre l’utilisation par Doctolib de serveurs propriété d’Amazon web services toujours soumis au Cloud Act (texte permettant aux autorités américaines d’obliger les fournisseurs de services numériques américains à leur fournir des données), les soupçons de collaboration avec des entreprises états-uniennes et le contexte de glissement autoritaire américain, sont toujours d’actualité. La multiplication des cyber-attaques et vols de données (notamment 33 millions de Françaises et Français touchés par le piratage des mutuelles Viamedis et Almerys) ne peuvent qu’aggraver les inquiétudes.
L’enjeu annoncé étant « d’aider chacune et chacun à vivre en meilleure santé », on aurait souhaité que ce soit le ministère de la Santé ou un organisme public comme la Sécurité sociale qui soit chargé de cette recherche, plutôt que Doctolib.
La LDH, qui s’est déjà opposée aux pratiques de cette entreprise monopolistique soutenue par le gouvernement, notamment lorsque ce dernier lui a confié le monopole des rendez-vous de vaccination contre le Covid, ne peut qu’encourager tous les patients à refuser l’utilisation de leurs données dans ce cadre.
Paris, le 16 juillet 2026