Des dizaines de millions de patients font transiter par la plateforme des informations hautement sensibles : l'historique de leurs rendez-vous avec des praticiens, parfois le motif de leur consultation, et même des ordonnances après des téléconsultations.
Des dizaines de millions de patients font transiter par la plateforme des informations hautement sensibles : l'historique de leur rendez-vous avec des praticiens, parfois le motif de leur consultation et même des ordonnances après des téléconsultations.
Il se dirige vers les ascenseurs, avant de marquer l'arrêt. "Je crois qu'en prenant ces escaliers, on devrait arriver aux salles de réunion." Stanislas Niox-Chateau se perd encore un peu dans le grand immeuble moderne de Levallois-Perret (Hauts-de-Seine) qui accueille ses équipes depuis janvier. C'est que tout est allé très vite pour le jeune trentenaire, fondateur de Doctolib, que franceinfo a rencontré jeudi 13 février.
Lancée fin 2013, l'application qui permet aux patients de prendre rendez-vous avec un médecin en quelques clics et aux professionnels de santé de faciliter la gestion de leur cabinet a connu une croissance fulgurante. Avec ses 1 300 salariés et ses embauches à tour de bras, Doctolib a même rejoint en mars 2019 Deezer et Blablacar dans le cercle très fermé des licornes françaises, ces entreprises valorisées à plus d'un milliard d'euros.
Doctolib doit sa réussite à un véritable trésor de guerre : son nombre d'utilisateurs. Selon ses chiffres, pas moins d'un Français sur deux utiliserait ses services pour gérer ses rendez-vous médicaux. Des dizaines de millions de patients qui font transiter par la plateforme des informations importantes, et hautement sensibles : l'historique de leur rendez-vous avec des praticiens, parfois le motif de leur consultation, et, depuis quelques mois, des ordonnances après des téléconsultations. Que dit la réglementation sur la gestion de ces données ? Doctolib la respecte-t-elle ? Comment sont protégées ces informations sensibles ? Franceinfo a enquêté.
Une notion redéfinie en mai 2018
Lorsque vous utilisez Doctolib pour prendre rendez-vous chez votre dermatologue, par exemple, vous transmettez deux types d'informations bien distinctes à la plateforme : d'un côté, vos données personnelles (nom, adresse e-mail, numéro de téléphone…) ; de l'autre, vos données de santé (rendez-vous avec un praticien, motif de la consultation, ordonnance numérisée après une téléconsultation...). Si cette distinction peut sembler évidente, elle est en fait assez récente. "Auparavant, la loi ne qualifiait de données de santé que les données relatives aux pathologies, comme par exemple le fait d'indiquer que Monsieur X est atteint de tel type de cancer", explique à franceinfo Guillaume Desgens-Pasanau, ancien directeur juridique de la Cnil, le gendarme français du respect des données personnelles.
Des informations comme le niveau de correction visuelle ou la prise de rendez-vous avec tel ou tel praticien bénéficiaient d'une sorte de 'zone grise', et n'étaient pas formellement considérées comme des données de santé.à franceinfo
Le Règlement général sur la protection des données (RGPD) dans l'Union européenne a considérablement changé les choses. Entré en vigueur en mai 2018, ce texte a élargi la conception de données de santé, notamment aux cas cités plus haut. Avec cet élargissement de la notion légale de données de santé, "de nombreuses entités qui manipulaient ce type d'informations ont eu une responsabilité plus importante vis-à-vis de la réglementation", poursuit Guillaume Desgens-Pasanau.
La nouvelle législation demande en effet des précautions particulières aux entreprises ou administrations qui collectent ces données jugées sensibles. Ce qui est le cas de Doctolib. Comme l'indique le guide pratique (PDF) coédité par la Cnil et le Conseil national de l'Ordre des médecins à destination des professionnels de santé, le RGPD impose que les données issues de la prise de rendez-vous soient traitées de la même manière que les dossiers médicaux des patients. Pas question par exemple de vous réclamer des informations autres que celles "strictement nécessaires" à votre parcours de soin – la collecte d'informations sur votre vie familiale n'est par exemple en principe pas appropriée. L'accès aux données de santé doit également être restreint autant que possible, leur contenu sécurisé et la Cnil doit être prévenue en cas de violation de celles-ci.
La suite sur Francetvinfo.fr
Source : Francetvinfo.fr
Informations complémentaires :
Crashdebug.fr : Traqués !
Crashdebug.fr : Le « big data » ou la recette secrète du succès d'Emmanuel Macron ?
