Sur la toile, la confidentialité des données de santé est loin d'être optimale. En témoigne une affaire récente mettant en cause Doctolib en Allemagne.
D'après une enquête parue le 21 juin dans le média allemand « Mobilsicher » (spécialisé dans la sécurité des téléphones), la célèbre plateforme de réservation médicale aurait fourni, pendant plusieurs mois, des informations hautement sensibles de ses utilisateurs allemands aux régies publicitaires de Facebook et Outbrain (un service de publicité en ligne). Concrètement, Doctolib aurait aurait envoyé les mots-clés tapés par les utilisateurs dans le moteur de recherche de la plateforme à Facebook et Outbrain. Ces mots-clés concernaient notamment la spécialité en médecine et/ou le traitement recherchés par les utilisateurs, ou encore, le secteur demandé (public ou privé). Ainsi, Facebook et Outbrain auraient eu accès au contenu des recherches comme « cystite », « grippe » ou « cancer du sein », permettant de préciser le spécialiste pouvant répondre aux besoins de l'utilisateur. Doctolib aurait, par ailleurs, partagé le numéro d’identifiant, ou « adresse IP », de l’appareil utilisé par chaque usager. Ce qui pouvait permettre d'identifier l'utilisateur en question. D'après le média allemand, « les données transmises pouvaient donc difficilement être considérées comme anonymes ».
Une thèse que réfute Doctolib. Sollicité par nos soins, son service communication nous a répondu par écrit. « Doctolib n’a jamais transmis de donnée médicale à un acteur tiers, que ce soit en France ou en Allemagne : les données de santé de nos utilisateurs sont confidentielles, sécurisées et ne sont jamais utilisées à des fins commerciales. Doctolib avait mis en place des cookies (mouchards publicitaires) sur son site allemand Doctolib.de pour lui permettre de comprendre si les internautes qui consultaient ses pages avaient été confrontés à l'une des campagnes de promotion de la prise de rendez-vous en ligne réalisées par le site sur Facebook et Outbrain. Ces « cookies » ont été supprimés immédiatement après l’enquête de « Mobilsicher ». On ne parle, en aucun cas, ici de données comportementales utilisées par Facebook pour permettre de cibler des personnes en fonction de leurs habitudes de santé. »
Pas de cookies en France
D'après Stanislas Niox-Chateau, patron de Doctolib, le rôle de ces cookies était donc uniquement de mesurer le succès des campagnes de communication destinées à faire connaître Doctolib.de auprès du public. Par ailleurs, outre Facebook et Outbrain, aucune entreprise souhaitant faire de la publicité médicale n'avait accès à ces données. Stanislas Niox-Chateau aurait également demandé à Outbrain d'effacer toutes les informations que le site leur a fait remonter. Il assure que Facebook n'a jamais stocké de données de santé sensibles. Mais aussi, que ces dernières n'ont pas été utilisées pour faire de la publicité ciblée. En effet, d'après le Règlement général pour la protection des données (RGPD), les données de santé ne sont pas censées être communiquées à des fins commerciales.
Malgré tout, le patron de Doctolib a reconnu que l'utilisation de cookies dans le domaine médical était « malvenue ». Depuis la publication de l'article, le 21 juin dernier, Doctolib a mis fin à cette pratique. Celle-ci n'aurait d'ailleurs concerné que la version allemande de la plateforme.
À l'avenir, la législation mériterait d'évoluer pour interdire la mise en place de cookies et de trackers pour des sites contenant des données sensibles. Doctolib a déjà été victime de tentatives de piratage de sa base de données. Et sa réputation d'opacité sur la gestion des données et de leur devenir est bien connue des experts. Cela lui a d'ailleurs valu d'obtenir le prix Big Brother 2021 par l'association allemande Digitalcourage.