Doctolib veut utiliser vos données pour ses recherches en IA. Vous pouvez refuser.
Doctolib a envoyé ce mercredi 8 juillet un email à une partie de ses utilisateurs pour les informer qu'à partir d'août 2026, leurs données personnelles seront utilisées dans un projet de recherche en intelligence artificielle intitulé « Améliorer les parcours de soins grâce à l'intelligence artificielle ». Ce projet associe l'équipe Heka, commune à Inria, à l'Inserm et à l'Université Paris Cité, trois institutions scientifiques françaises reconnues. Doctolib, qui revendiquait environ 60 millions de comptes en 2021, soit presque la population française, a choisi de ne pas demander le consentement explicite de ses utilisateurs. L'entreprise invoque à la place son « intérêt légitime à conduire des recherches scientifiques dans le but d'améliorer les soins pour tous », une justification fondée sur la méthodologie de référence MR-004 de la CNIL et sur l'article 6.1.f du RGPD. Concrètement, cela signifie que les données sont réutilisées par défaut, sauf opposition active de la personne concernée via un formulaire dédié.
Cette approche change la charge de la preuve pour les utilisateurs de Doctolib. Plutôt que d'avoir à donner leur accord pour que leurs données de santé servent à la recherche, ce sont eux qui doivent s'en apercevoir, comprendre l'email, cliquer sur le lien et remplir un formulaire demandant prénom, nom et date de naissance pour s'opposer. Ce mécanisme d'opt-out, légal mais moins protecteur qu'un opt-in, maximise mécaniquement le volume de données exploitables par Doctolib, qui reste par ailleurs le principal bénéficiaire potentiel des résultats de cette recherche. Pour les patients, l'enjeu porte sur des données médicales par nature sensibles, dont le contrôle individuel s'amenuise dès lors que l'information n'est pas activement lue et traitée par chacun.
La méthodologie MR-004 de la CNIL encadre en théorie strictement ce type de traitement à des fins d'étude ou de recherche sans impliquer directement les personnes : seuls les chercheurs intervenant dans un lieu de recherche peuvent, par exemple, conserver le lien entre l'identité des patients et leurs données, et les personnes concernées doivent être informées. Reste à savoir si Doctolib a rempli les formalités préalables attendues auprès de la CNIL, une question posée par la rédaction de Next à l'autorité, qui n'avait pas encore répondu au moment de la publication. Cet épisode s'inscrit dans un débat plus large sur l'équilibre entre l'exploitation des données de santé pour la recherche en IA, jugée utile pour améliorer les parcours de soins, et la protection du consentement individuel, alors que de plus en plus d'acteurs du numérique en santé cherchent à valoriser leurs bases d'utilisateurs à des fins scientifiques ou commerciales.
Concerne directement Doctolib, plateforme de sante francaise utilisee par la quasi-totalite de la population, et interroge le respect de la methodologie CNIL MR-004 et du RGPD dans le traitement des donnees de sante a des fins de recherche en IA.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.




