Aller au contenu principal
Doctolib réfute livrer « les infos de ses utilisateurs » aux grands acteurs de l’IA
ÉthiqueNext INpact · 2 min de lecture

Doctolib réfute livrer « les infos de ses utilisateurs » aux grands acteurs de l’IA

Source originale ↗·

Le Canard Enchaîné a affirmé, dans son édition du 2 juin 2026, que Doctolib transmettait les données de ses utilisateurs à Microsoft, Anthropic et Google dans le but d'entraîner leurs grands modèles de langage. L'article vise notamment l'assistant de consultation que la licorne française commercialise depuis 2024 auprès des professionnels de santé. Ce service écoute les consultations médicales, avec l'accord du patient, pour générer automatiquement comptes-rendus et courriers. Or, les documents contractuels de Doctolib consultés par la rédaction de Next confirment que Microsoft Azure, Anthropic et Google Irlande figurent bien dans la liste des « sous-traitants ultérieurs » de l'entreprise, avec pour service déclaré la « fourniture du modèle de LLM » et pour finalité l'« analyse et création de contenu à des fins d'automatisation de tâches ».

Doctolib dément catégoriquement que ces données médicales servent à entraîner les modèles de ses fournisseurs. Selon un porte-parole de l'entreprise, Microsoft, Anthropic et Google interviennent exclusivement comme prestataires techniques, sur instructions strictes de Doctolib, dans un cadre contractuel qui leur interdit d'utiliser les données à d'autres fins que la fourniture du service. En clair : les LLM américains sont bien mobilisés pour faire tourner les fonctionnalités de transcription et de synthèse, mais les notes médicales ne serviraient pas à affiner leurs poids. Sur le plan du stockage, Doctolib assure que les données sont hébergées sur des serveurs européens certifiés Hébergement de Données de Santé. Le Canard Enchaîné objecte toutefois que la justice américaine peut contraindre ces entreprises à transmettre des données outre-Atlantique, indépendamment de leur localisation physique.

Cette controverse s'inscrit dans un débat plus large sur la souveraineté numérique des données de santé en France. Doctolib, qui traite des dizaines de millions de consultations, est une infrastructure critique du système de soins français, et toute ambiguïté sur le traitement de ses données sensitives déclenche une réaction immédiate. La tension entre innovation IA et protection des données médicales est structurelle : utiliser des LLM de pointe implique presque inévitablement de s'appuyer sur les infrastructures des géants américains, Microsoft, Google ou Anthropic, faute d'alternatives européennes comparables. Le RGPD et la certification HDS imposent des garanties, mais le Cloud Act américain crée un angle mort juridique que ni les certifications ni les contrats ne peuvent complètement combler. L'affaire illustre la fragilité des engagements de confidentialité dès lors que les données de santé transitent, même partiellement, par des acteurs soumis au droit américain.

Impact France/UE

Les données médicales de millions de patients français transitent par des sous-traitants américains soumis au Cloud Act, créant une faille juridique structurelle que ni la certification HDS ni le RGPD ne peuvent entièrement combler.

💬 L'analyse de Mathieu

La distinction que fait Doctolib entre "faire tourner" et "entraîner" un LLM, elle est réelle. Mais ça n'enlève pas le truc qui gratte : tes comptes-rendus médicaux passent par des serveurs d'entreprises soumises au Cloud Act, et aucun label HDS ne te protège de ça. C'est une impasse structurelle, pas une faute de Doctolib spécifiquement.

Cet article vous a été utile ?

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Doctolib veut utiliser vos données pour ses recherches en IA. Vous pouvez refuser.
1Next INpact 

Doctolib veut utiliser vos données pour ses recherches en IA. Vous pouvez refuser.

Doctolib a envoyé ce mercredi 8 juillet un email à une partie de ses utilisateurs pour les informer qu'à partir d'août 2026, leurs données personnelles seront utilisées dans un projet de recherche en intelligence artificielle intitulé « Améliorer les parcours de soins grâce à l'intelligence artificielle ». Ce projet associe l'équipe Heka, commune à Inria, à l'Inserm et à l'Université Paris Cité, trois institutions scientifiques françaises reconnues. Doctolib, qui revendiquait environ 60 millions de comptes en 2021, soit presque la population française, a choisi de ne pas demander le consentement explicite de ses utilisateurs. L'entreprise invoque à la place son « intérêt légitime à conduire des recherches scientifiques dans le but d'améliorer les soins pour tous », une justification fondée sur la méthodologie de référence MR-004 de la CNIL et sur l'article 6.1.f du RGPD. Concrètement, cela signifie que les données sont réutilisées par défaut, sauf opposition active de la personne concernée via un formulaire dédié. Cette approche change la charge de la preuve pour les utilisateurs de Doctolib. Plutôt que d'avoir à donner leur accord pour que leurs données de santé servent à la recherche, ce sont eux qui doivent s'en apercevoir, comprendre l'email, cliquer sur le lien et remplir un formulaire demandant prénom, nom et date de naissance pour s'opposer. Ce mécanisme d'opt-out, légal mais moins protecteur qu'un opt-in, maximise mécaniquement le volume de données exploitables par Doctolib, qui reste par ailleurs le principal bénéficiaire potentiel des résultats de cette recherche. Pour les patients, l'enjeu porte sur des données médicales par nature sensibles, dont le contrôle individuel s'amenuise dès lors que l'information n'est pas activement lue et traitée par chacun. La méthodologie MR-004 de la CNIL encadre en théorie strictement ce type de traitement à des fins d'étude ou de recherche sans impliquer directement les personnes : seuls les chercheurs intervenant dans un lieu de recherche peuvent, par exemple, conserver le lien entre l'identité des patients et leurs données, et les personnes concernées doivent être informées. Reste à savoir si Doctolib a rempli les formalités préalables attendues auprès de la CNIL, une question posée par la rédaction de Next à l'autorité, qui n'avait pas encore répondu au moment de la publication. Cet épisode s'inscrit dans un débat plus large sur l'équilibre entre l'exploitation des données de santé pour la recherche en IA, jugée utile pour améliorer les parcours de soins, et la protection du consentement individuel, alors que de plus en plus d'acteurs du numérique en santé cherchent à valoriser leurs bases d'utilisateurs à des fins scientifiques ou commerciales.

UEConcerne directement Doctolib, plateforme de sante francaise utilisee par la quasi-totalite de la population, et interroge le respect de la methodologie CNIL MR-004 et du RGPD dans le traitement des donnees de sante a des fins de recherche en IA.

💬 Doctolib inverse la charge de la preuve, et c'est tout le problème. Sur le papier, MR-004 et l'article 6.1.f du RGPD ça tient juridiquement, mais dans les faits ça veut dire que 60 millions de Français doivent aller chercher un email, cliquer, remplir un formulaire avec leur date de naissance pour protéger des données de santé qu'ils n'ont jamais explicitement accepté de partager. L'opt-out sur du médical, c'est le genre de détail qui devrait faire hurler bien plus que ça.

ÉthiqueReglementation
1 source
Après les livres générés par IA, les noms d’auteurs détournés pour promouvoir de l’AI slop
2Next INpact 

Après les livres générés par IA, les noms d’auteurs détournés pour promouvoir de l’AI slop

L'écrivain français Julien Blanc-Gras, connu pour ses récits de voyage comme Gringoland (2005) ou Bungalow (2024), a découvert début 2026 que son nom était associé sur Amazon à un ouvrage qu'il n'a jamais écrit : Guide complet d'aventure : le manuel de survie du voyageur moderne, vendu 17,05 euros. Mis en ligne le 20 mars, le livre de 134 pages se présentait comme l'oeuvre de « l'auteur baroudeur et écrivain Julien Blanc-Gras ». L'auteur, dans une chronique publiée dans Le Monde, raconte avoir acheté l'objet « dans un geste masochiste » pour en examiner le contenu : couverture « hideuse », quatrième de couverture en bullet points, numéro ISBN « bidon », et des pages truffées de termes inventés comme l'« inflatrooting », le tout rédigé dans ce qu'il appelle une « novlangue de camelot sous ayahuasca refourguant des investissements en cryptomonnaies sur Instagram ». Il s'agit du premier cas documenté en langue française, mais des autrices anglophones comme Jane Friedman ou Vanessa Fox O'Loughlin avaient déjà subi le même traitement dès 2023. Ce type d'usurpation constitue une attaque directe contre la réputation d'auteurs réels, dont le nom sert à conférer une apparence de légitimité à du contenu généré automatiquement. L'IA générative abaisse le coût de production de ces livres fantômes à presque zéro, rendant l'arnaque massivement scalable. Amazon, pour sa part, avait initialement refusé d'agir dans le cas Jane Friedman, arguant que son nom n'était pas une marque déposée et donc pas protégé juridiquement, les livres n'ont disparu qu'après une prise de parole publique de l'autrice. Cette logique expose une faille systémique : les plateformes d'e-commerce ne sont pas équipées pour arbitrer entre un auteur légitime et un imposteur algorithmique, et les mécanismes de réclamation existants n'ont pas été conçus pour ce type de fraude à l'identité. La mécanique derrière ces arnaques est précise : selon David-Julien Rahmil, rédacteur en chef adjoint de l'ADN, des acteurs issus de la mouvance « hustle bros » ciblent des niches éditoriales spécifiques, ici le voyage, puis associent un nom d'auteur crédible pour faire remonter leur produit dans les algorithmes de recommandation d'Amazon. Le livre sert moins à être lu qu'à exister comme preuve d'une « méthode » revendue ensuite à prix fort sur les réseaux sociaux. Avec la démocratisation des outils de génération de texte, ce phénomène risque de s'accélérer et de s'étendre à d'autres langues et d'autres domaines, posant une question inédite sur la capacité des plateformes et du droit à protéger l'identité et l'oeuvre des créateurs face à des acteurs qui opèrent dans les angles morts des systèmes en place.

UEUn auteur français est directement victime d'usurpation d'identité éditoriale par IA, exposant une faille juridique systémique en France et en Europe : ni les plateformes ni le droit actuel ne protègent efficacement les créateurs contre cette fraude algorithmique à l'identité.

💬 Ce bouquin n'est pas fait pour être lu : c'est un support marketing, la preuve physique d'une "méthode" que des hustle bros vont revendre en story Instagram à 497 euros. Le nom de Blanc-Gras, c'est du référencement humain, rien de plus. Et quand Amazon explique qu'il ne peut pas agir parce que son nom n'est pas une marque déposée, ça dit tout sur l'angle mort dans lequel ces plateformes laissent les créateurs.

ÉthiqueOpinion
1 source
3Next INpact 

☕️ OkCupid épinglé pour un transfert de photos d’utilisateurs vers une société d’IA

En mars 2026, OkCupid et sa maison mère Match Group ont conclu un accord avec la Federal Trade Commission (FTC) américaine après la révélation que le site de rencontres avait transmis illégalement les données de ses utilisateurs à une société d'intelligence artificielle. Au cœur de l'affaire : 3 millions de photos d'utilisateurs, accompagnées de données démographiques et de géolocalisation, livrées à Clarifai, une entreprise spécialisée dans la reconnaissance faciale. Les faits remontent à 2014, lorsque Matthew Zeiler, fondateur de Clarifai, contactait Maxwell Khron, cofondateur d'OkCupid, pour obtenir un accès massif aux données du site, dont des dirigeants d'OkCupid étaient par ailleurs actionnaires. Ce transfert s'est effectué sans aucune restriction sur l'usage ultérieur des informations, sans notification aux utilisateurs et sans possibilité pour eux de s'y opposer. L'accord avec la FTC, finalisé fin mars 2026, oblige OkCupid et Match à ne plus induire en erreur leurs membres sur l'utilisation de leurs données personnelles, mais n'implique aucune sanction financière, la FTC ne disposant pas de ce pouvoir. Le scandale illustre une pratique qui touche directement des millions de personnes ayant confié leurs photos et informations intimes à une plateforme de rencontres, sans jamais imaginer que ces données alimenteraient des modèles de reconnaissance faciale commerciaux et militaires. Clarifai compte en effet parmi ses clients l'armée américaine, ce qui soulève des questions sérieuses sur l'usage final de ces données biométriques. L'absence totale de consentement, combinée à la violation explicite de la propre politique de confidentialité d'OkCupid, place cet accord dans la catégorie des manquements les plus graves aux droits des utilisateurs : non seulement les règles internes ont été bafouées, mais une loi fédérale interdisant les pratiques commerciales trompeuses l'a également été. L'enquête de la FTC, ouverte en 2019, aura mis cinq ans à aboutir à un règlement qui, pour beaucoup d'observateurs, reste insuffisant face à l'ampleur des faits. Clarifai, qui n'était pas formellement mise en cause dans la procédure, a affirmé avoir supprimé les données reçues d'OkCupid, mais seulement douze ans après les faits, et sans préciser combien de modèles avaient été entraînés sur ces données ni pendant combien de temps ils avaient été utilisés ou commercialisés. L'affaire s'inscrit dans un contexte plus large de monétisation opaque des données issues des applications de rencontres : des enquêtes parallèles ont révélé que des données similaires ont été revendues pour identifier des membres du clergé catholique. Match Group, qui opère également Tinder, Hinge et plusieurs autres plateformes, se retrouve ainsi au centre d'un débat croissant sur la gouvernance des données personnelles sensibles dans le secteur des applications de rencontres.

UELes utilisateurs français et européens de Tinder, Hinge et OkCupid (Match Group) sont concernés par des pratiques de partage de données biométriques similaires potentiellement contraires au RGPD, soulevant des questions sur la gouvernance des données sensibles par les plateformes de rencontres opérant en Europe.

ÉthiqueReglementation
1 source
Les joueurs de Pokémon GO ont-ils entraîné une IA utilisée par l’armée américaine ?
4Next INpact 

Les joueurs de Pokémon GO ont-ils entraîné une IA utilisée par l’armée américaine ?

Depuis 2016, les joueurs de Pokémon GO ont effectué plus de 30 milliards de scans en réalité augmentée de lieux réels dans le cadre de missions in-game : filmer un monument, tourner autour d'une statue ou d'une fontaine pour débloquer des récompenses. Ces vidéos, collectées par Niantic, la société fondée en spin-off de Google, ont alimenté un système de positionnement visuel (VPS) capable de localiser précisément des appareils sans recourir au GPS. Or, fin 2024, Niantic Spatial, la branche dédiée à la cartographie spatiale, a annoncé un partenariat avec Vantor, une entreprise spécialisée en navigation dans des environnements où le signal GPS est brouillé ou indisponible. Vantor compte parmi ses clients la NGA (National Geospatial-Intelligence Agency) et l'armée américaine, et se présente ouvertement comme un acteur des secteurs de la défense et du renseignement. C'est le site néerlandais Trouw qui a mis en lumière cette chaîne de continuité technologique, sans affirmer pour autant que des scans de joueurs pilotent aujourd'hui des drones militaires. L'affaire soulève une question de fond sur le consentement éclairé des utilisateurs. En acceptant les conditions d'utilisation de Pokémon GO, des millions de joueurs ont contribué, souvent sans en avoir conscience, à construire une carte 3D du monde réel d'une précision inégalée. Ce type de système VPS est stratégiquement précieux dans des contextes de guerre électronique, où le brouillage GPS est une tactique courante. Si le lien entre les scans des joueurs et les drones militaires reste à ce stade hypothétique, la plausibilité technologique de cette connexion suffit à alimenter une controverse légitime sur l'usage détourné de données récoltées dans un cadre ludique. En mars 2025, Niantic a revendu sa branche jeux à Scopely, filiale du fonds saoudien Savvy Games, en conservant ses actifs de cartographie au sein de la nouvelle entité indépendante Niantic Spatial. L'entreprise assure que depuis ce transfert, les données de Pokémon GO ne sont plus partagées avec Niantic Spatial, et que les scans avaient été fournis volontairement par les joueurs ayant activé la fonction. Vantor confirme de son côté ne pas utiliser les données Pokémon GO dans le cadre actuel du partenariat, mais refuse de préciser si les modèles déjà entraînés incorporent ces données historiques. Ce silence partiel illustre une zone grise réglementaire plus large : la réutilisation de données grand public à des fins militaires ou de sécurité nationale, sans mécanisme d'information ou d'opposition pour les utilisateurs d'origine.

UEDes millions de joueurs européens protégés par le RGPD pourraient être concernés par la réutilisation de leurs scans AR à des fins militaires sans consentement explicite, créant un précédent que la CNIL et les autorités de protection des données européennes pourraient être amenées à examiner.

💬 30 milliards de scans collectés en échange de Poké Balls, et personne n'a signé pour alimenter un VPS de navigation militaire. Ce que tu dois retenir, c'est pas la théorie du drone Pokémon GO (c'est du scénario pour l'instant), c'est que Vantor refuse de préciser si les modèles déjà entraînés incorporent ces données historiques. Ce silence, c'est à peu près la réponse.

ÉthiqueReglementation
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour

Gratuit · 1 email le matin, l'essentiel de l'IA · désinscription en un clic