Aller au contenu principal
ÉthiqueNext INpactà l'instant· 2 min de lecture

Doctolib veut utiliser vos données pour ses recherches en IA. Vous pouvez refuser.

Source originale ↗·

Doctolib a envoyé ce mercredi 8 juillet un email à une partie de ses utilisateurs pour les informer qu'à partir d'août 2026, leurs données personnelles seront utilisées dans un projet de recherche en intelligence artificielle intitulé « Améliorer les parcours de soins grâce à l'intelligence artificielle ». Ce projet associe l'équipe Heka, commune à Inria, à l'Inserm et à l'Université Paris Cité, trois institutions scientifiques françaises reconnues. Doctolib, qui revendiquait environ 60 millions de comptes en 2021, soit presque la population française, a choisi de ne pas demander le consentement explicite de ses utilisateurs. L'entreprise invoque à la place son « intérêt légitime à conduire des recherches scientifiques dans le but d'améliorer les soins pour tous », une justification fondée sur la méthodologie de référence MR-004 de la CNIL et sur l'article 6.1.f du RGPD. Concrètement, cela signifie que les données sont réutilisées par défaut, sauf opposition active de la personne concernée via un formulaire dédié.

Cette approche change la charge de la preuve pour les utilisateurs de Doctolib. Plutôt que d'avoir à donner leur accord pour que leurs données de santé servent à la recherche, ce sont eux qui doivent s'en apercevoir, comprendre l'email, cliquer sur le lien et remplir un formulaire demandant prénom, nom et date de naissance pour s'opposer. Ce mécanisme d'opt-out, légal mais moins protecteur qu'un opt-in, maximise mécaniquement le volume de données exploitables par Doctolib, qui reste par ailleurs le principal bénéficiaire potentiel des résultats de cette recherche. Pour les patients, l'enjeu porte sur des données médicales par nature sensibles, dont le contrôle individuel s'amenuise dès lors que l'information n'est pas activement lue et traitée par chacun.

La méthodologie MR-004 de la CNIL encadre en théorie strictement ce type de traitement à des fins d'étude ou de recherche sans impliquer directement les personnes : seuls les chercheurs intervenant dans un lieu de recherche peuvent, par exemple, conserver le lien entre l'identité des patients et leurs données, et les personnes concernées doivent être informées. Reste à savoir si Doctolib a rempli les formalités préalables attendues auprès de la CNIL, une question posée par la rédaction de Next à l'autorité, qui n'avait pas encore répondu au moment de la publication. Cet épisode s'inscrit dans un débat plus large sur l'équilibre entre l'exploitation des données de santé pour la recherche en IA, jugée utile pour améliorer les parcours de soins, et la protection du consentement individuel, alors que de plus en plus d'acteurs du numérique en santé cherchent à valoriser leurs bases d'utilisateurs à des fins scientifiques ou commerciales.

Impact France/UE

Concerne directement Doctolib, plateforme de sante francaise utilisee par la quasi-totalite de la population, et interroge le respect de la methodologie CNIL MR-004 et du RGPD dans le traitement des donnees de sante a des fins de recherche en IA.

Dans nos dossiers

Cet article vous a été utile ?

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Actualité : GitHub Copilot : Microsoft va utiliser vos données pour alimenter son IA, sauf si vous refusez
1Les Numériques IA 

Actualité : GitHub Copilot : Microsoft va utiliser vos données pour alimenter son IA, sauf si vous refusez

Microsoft a annoncé en mars 2026 une modification de sa politique de données pour GitHub Copilot : les données des utilisateurs — incluant le code, les interactions et les comportements sur la plateforme — seront désormais utilisées pour entraîner ses modèles d'intelligence artificielle, sauf si les utilisateurs se désinscrivent explicitement via les paramètres de leur compte. Ce changement concerne l'ensemble des utilisateurs de GitHub Copilot, qu'ils soient en version gratuite ou payante, et prend effet dans les prochaines semaines. Pour des millions de développeurs, cela signifie que leur code — parfois propriétaire ou sensible — pourrait contribuer à améliorer les outils IA de Microsoft sans action de leur part. Le mécanisme d'opt-out existe, mais il repose sur la démarche active de l'utilisateur, ce qui, statistiquement, laisse la grande majorité des données accessibles. Pour les entreprises qui utilisent GitHub en environnement professionnel, la question de la confidentialité du code source devient immédiatement critique. Microsoft a racheté GitHub en 2018 pour 7,5 milliards de dollars, un investissement dont la rentabilisation passe largement par Copilot, lancé en 2021 et aujourd'hui intégré dans l'écosystème Visual Studio et Azure. La firme de Redmond s'inscrit ainsi dans une tendance plus large : OpenAI, Google et Meta ont tous adopté des politiques similaires d'utilisation des données utilisateurs pour affiner leurs modèles. La pression réglementaire européenne, notamment via le RGPD, pourrait cependant contraindre Microsoft à adapter ces pratiques pour les utilisateurs de l'Union européenne.

UELes développeurs européens utilisant GitHub Copilot doivent se désinscrire activement pour protéger leur code propriétaire ; le RGPD pourrait contraindre Microsoft à imposer un mécanisme d'opt-in explicite pour les utilisateurs de l'UE.

ÉthiqueReglementation
1 source
Doctolib réfute livrer « les infos de ses utilisateurs » aux grands acteurs de l’IA
2Next INpact 

Doctolib réfute livrer « les infos de ses utilisateurs » aux grands acteurs de l’IA

Le Canard Enchaîné a affirmé, dans son édition du 2 juin 2026, que Doctolib transmettait les données de ses utilisateurs à Microsoft, Anthropic et Google dans le but d'entraîner leurs grands modèles de langage. L'article vise notamment l'assistant de consultation que la licorne française commercialise depuis 2024 auprès des professionnels de santé. Ce service écoute les consultations médicales, avec l'accord du patient, pour générer automatiquement comptes-rendus et courriers. Or, les documents contractuels de Doctolib consultés par la rédaction de Next confirment que Microsoft Azure, Anthropic et Google Irlande figurent bien dans la liste des « sous-traitants ultérieurs » de l'entreprise, avec pour service déclaré la « fourniture du modèle de LLM » et pour finalité l'« analyse et création de contenu à des fins d'automatisation de tâches ». Doctolib dément catégoriquement que ces données médicales servent à entraîner les modèles de ses fournisseurs. Selon un porte-parole de l'entreprise, Microsoft, Anthropic et Google interviennent exclusivement comme prestataires techniques, sur instructions strictes de Doctolib, dans un cadre contractuel qui leur interdit d'utiliser les données à d'autres fins que la fourniture du service. En clair : les LLM américains sont bien mobilisés pour faire tourner les fonctionnalités de transcription et de synthèse, mais les notes médicales ne serviraient pas à affiner leurs poids. Sur le plan du stockage, Doctolib assure que les données sont hébergées sur des serveurs européens certifiés Hébergement de Données de Santé. Le Canard Enchaîné objecte toutefois que la justice américaine peut contraindre ces entreprises à transmettre des données outre-Atlantique, indépendamment de leur localisation physique. Cette controverse s'inscrit dans un débat plus large sur la souveraineté numérique des données de santé en France. Doctolib, qui traite des dizaines de millions de consultations, est une infrastructure critique du système de soins français, et toute ambiguïté sur le traitement de ses données sensitives déclenche une réaction immédiate. La tension entre innovation IA et protection des données médicales est structurelle : utiliser des LLM de pointe implique presque inévitablement de s'appuyer sur les infrastructures des géants américains, Microsoft, Google ou Anthropic, faute d'alternatives européennes comparables. Le RGPD et la certification HDS imposent des garanties, mais le Cloud Act américain crée un angle mort juridique que ni les certifications ni les contrats ne peuvent complètement combler. L'affaire illustre la fragilité des engagements de confidentialité dès lors que les données de santé transitent, même partiellement, par des acteurs soumis au droit américain.

UELes données médicales de millions de patients français transitent par des sous-traitants américains soumis au Cloud Act, créant une faille juridique structurelle que ni la certification HDS ni le RGPD ne peuvent entièrement combler.

💬 La distinction que fait Doctolib entre "faire tourner" et "entraîner" un LLM, elle est réelle. Mais ça n'enlève pas le truc qui gratte : tes comptes-rendus médicaux passent par des serveurs d'entreprises soumises au Cloud Act, et aucun label HDS ne te protège de ça. C'est une impasse structurelle, pas une faute de Doctolib spécifiquement.

ÉthiqueReglementation
1 source
Google utilise votre historique pour entraîner son IA : voici comment l’en empêcher
3Le Big Data 

Google utilise votre historique pour entraîner son IA : voici comment l’en empêcher

Google déploie progressivement une nouvelle fonctionnalité nommée « Historique des services de recherche », qui permet à l'entreprise d'utiliser certaines activités des utilisateurs pour entraîner ses modèles d'intelligence artificielle. Concrètement, Google collecte les contenus envoyés directement à ses services : les photos soumises via Google Lens, les recherches et commandes vocales, ainsi que les données issues de Google Translate. L'entreprise précise qu'elle ne récupère pas les fichiers externes simplement consultés ou écoutés, mais uniquement ceux transmis activement par l'utilisateur. Ces données sont associées au compte Google, donc au nom de la personne concernée. Même en cas de suppression ultérieure de l'historique, les fichiers déjà exploités pour l'entraînement peuvent subsister dans les systèmes de Google sous une forme anonymisée, et ce pendant une durée pouvant aller jusqu'à quatre ans. Cette annonce soulève des questions concrètes de confidentialité pour des centaines de millions d'utilisateurs des services Google. Le fait que des photos, des commandes vocales ou des traductions personnelles puissent servir à entraîner des modèles d'IA, tout en restant liées à l'identité du compte, interroge sur le contrôle réel que les usagers conservent sur leurs propres données. La persistance des fichiers pendant quatre ans, même après suppression et sous forme anonymisée, complique également la possibilité d'un effacement total et immédiat. Pour les professionnels ou les utilisateurs sensibles à la protection de leurs données, cette fonctionnalité impose une vigilance accrue sur les paramètres de confidentialité, d'autant que son activation semble par défaut plutôt qu'optionnelle à l'inscription. Heureusement, il est possible de désactiver cette collecte en quelques étapes. Il faut se rendre sur myactivity.google.com, se connecter à son compte, puis chercher l'onglet « Historique des services de recherche » s'il est déjà visible, et désactiver l'option correspondante ainsi que la case « Enregistrer les médias ». Pour les comptes où cette fonctionnalité n'est pas encore apparue, la fonctionnalité étant déployée progressivement, il faut se rendre dans la section « Activité Web et applications », puis décocher l'option « Inclure l'activité vocale et audio ». Cette démarche s'inscrit dans un contexte plus large où les géants technologiques, dont Google, cherchent à alimenter leurs modèles d'IA avec des volumes croissants de données réelles issues de l'usage quotidien de leurs utilisateurs, une pratique qui alimente les débats sur la régulation des données personnelles et la transparence des entreprises technologiques envers leurs utilisateurs.

UELes utilisateurs europeens des services Google doivent desactiver manuellement cette collecte pour proteger leurs donnees personnelles.

ÉthiqueTuto
1 source
☕️ Meta veut regarder tout ce que font ses employés pour entraîner ses IA
4Next INpact 

☕️ Meta veut regarder tout ce que font ses employés pour entraîner ses IA

Meta a discrètement déployé un outil de surveillance baptisé Model Capability Initiative (MCI) sur les ordinateurs de ses employés, révèlent des mémos internes obtenus par Reuters. Concrètement, le dispositif enregistre l'intégralité des interactions des salariés avec leurs applications et sites web, mouvements de curseur, clics, frappes clavier, et effectue des captures d'écran à intervalles réguliers. L'entreprise précise que MCI n'a pas vocation à évaluer la productivité des employés ni à les surveiller au sens disciplinaire du terme, et affirme avoir mis en place des protections pour les "contenus sensibles", sans en détailler la nature. Andrew Bosworth, directeur technique du groupe, a exposé l'ambition derrière l'initiative dans un mémo interne : construire un environnement où les agents IA réalisent l'essentiel du travail pendant que les humains les dirigent, les évaluent et les corrigent. L'enjeu est précis : les modèles d'IA de Meta peinent à reproduire fidèlement les comportements humains face à un ordinateur, sélectionner une option dans un menu déroulant, enchaîner des raccourcis clavier, naviguer intuitivement entre applications. Ces lacunes limitent directement les capacités des agents IA qui prennent le contrôle d'un poste de travail à la place de l'utilisateur. En collectant des données comportementales réelles en conditions de travail, Meta espère combler ces angles morts et produire des agents capables, selon les mots de Bosworth, "d'identifier automatiquement les moments où nous avons ressenti le besoin d'intervenir, afin de faire mieux la fois suivante". C'est un pari industriel majeur : la course aux agents autonomes se joue désormais sur la qualité des données d'entraînement comportementales, et Meta entend utiliser ses propres effectifs comme terrain d'expérimentation. L'initiative se heurtera probablement à des obstacles juridiques significatifs en Europe. Le RGPD encadre strictement la collecte de données personnelles, y compris en contexte professionnel, et plusieurs législations nationales vont plus loin encore. En Italie, la surveillance électronique de la productivité des salariés est explicitement interdite. En France, si l'employeur peut accéder au matériel informatique mis à disposition des salariés, il doit préalablement informer les employés concernés et consulter les représentants du personnel, comité d'entreprise et comité social et économique. La CNIL a rappelé à plusieurs reprises que tout dispositif de surveillance doit être "strictement proportionné à l'objectif suivi" et ne peut servir à une surveillance permanente ; les keyloggers sont d'ailleurs explicitement cités parmi les outils prohibés. Meta devra donc adapter ou suspendre MCI dans plusieurs pays européens, sous peine de sanctions qui pourraient compromettre l'ensemble du programme.

UEMeta devra suspendre ou adapter son outil MCI en France et dans l'UE, où le RGPD, la CNIL (qui interdit explicitement les keyloggers) et le droit du travail français (consultation obligatoire du CSE) s'opposent à une surveillance permanente des salariés à des fins d'entraînement IA.

💬 Le problème des agents IA, c'est pas l'intelligence, c'est les micro-gestes : savoir qu'après ce menu tu fais Tab et pas clic, que ce champ se remplit dans tel ordre. Pour combler ça, Meta filme ses propres employés en permanence. Bon, sur le papier c'est du bon sens industriel, mais en Europe c'est un keylogger permanent sur du matériel pro, et la CNIL a été très claire là-dessus : non.

ÉthiqueReglementation
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour

Gratuit · 1 email le matin, l'essentiel de l'IA · désinscription en un clic