Doctolib met le secret médical sous perfusion américaine

Le secret médical ressemble de plus en plus à une poupée russe. Derrière le médecin surgissent l’éditeur logiciel, l’hébergeur cloud, le fournisseur d’IA puis leurs propres sous-traitants. Les révélations du Canard Enchaîné ont ouvert la poupée d’un coup sec. Au cœur de la controverse figure l’assistant de consultation lancé par Doctolib en 2024. L’outil écoute les échanges entre un praticien et son patient, retranscrit la consultation avant de générer une synthèse en moins de quinze secondes. Derrière cette promesse surgissent alors de nouveaux visages. Google. Anthropic. Microsoft. Leurs modèles participent à l’analyse du langage médical et à la rédaction automatisée des comptes-rendus. Une mécanique banale dans l’industrie de l’IA. Beaucoup moins lorsqu’elle manipule des symptômes, des traitements ou des antécédents médicaux. Une question ressurgit alors. Qui regarde quoi ? Le Canard affirme avoir identifié dans la documentation juridique de Doctolib des formulations suggérant que ces notes pourraient contribuer à l’entraînement de modèles d’intelligence artificielle. « Les notes de consultation n’entraînent pas leurs modèles d’intelligence artificielle », a assuré Doctolib, contestant cette lecture. Pourtant, la polémique dépasse déjà ce désaccord. L’assistant promet un gain de temps considérable aux praticiens. Son efficacité dépend précisément de sa capacité à comprendre ce que le système de santé protège le plus jalousement. 

Quand le droit court derrière la technologie 

Les révélations du Canard Enchaîné n'ont débouché sur aucune procédure. Aucun régulateur n'accuse aujourd'hui Doctolib d'enfreindre le RGPD. La plateforme rappelle que les données demeurent hébergées en Europe, chiffrées et protégées par des clauses contractuelles qui interdisent leur réutilisation pour entraîner les modèles de Google, Anthropic ou Microsoft. Pourtant, la polémique enfle. “La CNIL indique ne pas être en mesure de se prononcer sur la légalité de la situation. Voilà qui est rassurant”, a ironisé William Méauzoone, directeur général et cofondateur du cloud Leviia. La formule frappe parce qu'elle renvoie à un précédent encore récent. Lorsque le Health Data Hub s'appuyait sur Microsoft, le débat ne portait pas seulement sur la conformité juridique du dispositif. Il portait déjà sur la capacité à garantir qu'aucune législation extraterritoriale, comme le Cloud Act américain, ne puisse s'appliquer à des données de santé françaises. L'affaire Doctolib déplace aujourd'hui cette même inquiétude vers l'intelligence artificielle. Le sujet n'est plus seulement l'endroit où les données reposent. Il concerne aussi ce qu'elles deviennent lorsqu'un modèle les analyse, les structure et les transforme en contenu exploitable. “La pseudonymisation n'est pas l'anonymisation et tout le monde dans le secteur le sait”, a également rappelé William Méauzoone. Une donnée pseudonymisée perd son nom, pas nécessairement son caractère identifiable. Une pathologie rare, un traitement atypique ou un parcours de soin singulier peuvent parfois suffire à recomposer un profil. Le débat ne porte donc plus uniquement sur la protection des données. Il porte sur la démonstration. Comment prouver, dans une chaîne mêlant hébergeurs, fournisseurs d'IA et éditeurs logiciels, que les garanties annoncées couvrent effectivement tous les usages possibles ? 

Le prix de la centralité 

L'assistant de consultation n'est finalement qu'un déclencheur. Les mêmes interrogations qui entouraient hier Microsoft ou le Health Data Hub s'invitent désormais dans le débat autour d'un champion français de la e-santé. Avec plus de 90 millions de patients utilisateurs en Europe, Doctolib ne se contente plus d'éditer un une plateforme. L'entreprise participe à l'organisation des flux numériques du système de santé. L'hebomadaire satirique souligne également que Doctolib a consacré près de 500 000 euros à des activités de représentation auprès des parlementaires français en 2025, auxquels s'ajoutent 300 000 euros auprès des institutions européennes. L'entreprise défend notamment des sujets liés à l'hébergement, à la protection et à la portabilité des données. Pris isolément, le chiffre n'a rien d'exceptionnel pour une entreprise de cette taille. Remis dans le contexte de la polémique, il nourrit cependant une autre lecture du dossier. Celle d'un acteur devenu suffisamment central pour tenter d'influencer les règles qui encadrent son activité. “Nous confions des données à un médecin dans le cadre du secret médical, et ces données se retrouvent utilisées pour entraîner des modèles IA américains”, a dénoncé William Méauzoone. Doctolib conteste catégoriquement cette affirmation. L’article du Canard a ouvert plusieurs poupées russes. Mais la dernière ne cache ni Google, ni Microsoft ou Anthropic. Elle révèle une inconnue plus délicate : qui tient désormais le crayon lorsqu'il s'agit d'écrire les règles de la santé numérique ?