Alors que le ministère de la santé annonce le référencement de Doctolib dans Mon Espace Santé, sa réponse à une question écrite du député Arthur Delaporte rejette toute responsabilité de conformité légale et respect de la vie privée vers la CNIL.

Silence radio depuis un an et demi sur mes plaintes CNIL au sujet de Doctolib. Nous sommes dans une situation où je dois régulièrement déposer de nouvelles plaintes contre Doctolib car au bout d’un an, les technologies ont déjà rendu la précédente plainte obsolète sans avoir eu de réponse de la CNIL.

Pour rappel, j’ai listé en 2021, puis à l’été 2022, quelques unes des fonctionnalités problématiques qui peuvent faire l’objet de plaintes à la CNIL pour leurs potentiels manquements au RGPD ou à la loi informatique et libertés pour l’absence de protection des données personnelles.

La sous-traitance

Le RGPD a introduit un statut particulier pour les personnes sous-traitant des données personnelles. Par exemple et pour résumer, si une entreprise a un fichier client et qu’elle veut faire une communication par courrier, elle peut confier son fichier à une entreprise d’envoi de courrier. En signant un contrat de sous-traitance, elle protège les données de ses clients car le prestataire (ici l’entreprise d’envoi de courriers) ne pourra traiter ces données que pour la mission qui lui a été confiée.

Dans le cas de Doctolib, la sous-traitance est utilisée massivement. Les médecins sont responsables de traitement et la plateforme Doctolib est sous-traitant. Cela peut paraitre étrange mais c’est bien Doctolib qui est le sous-traitant 320 000 fois, pour leur 320 000 clients professionnels de santé.

Le contrat de sous-traitance est censé protéger les données récoltées par les responsables de traitement. Ici, les données des patients ne peuvent donc pas être réutilisées par le sous-traitant Doctolib grâce à l’article 29 du RGPD. Cependant, la situation est complexe car Doctolib est également responsable de traitement pour une partie des traitements en question et pour les même données que celles dont il est sous-traitant.

Pour le comprendre, on peut prendre l’exemple de l’adresse email. Celle-ci est nécessaire pour la création d’un compte Doctolib mais aussi pour la prise d’un rendez-vous. Ainsi, pour cette donnée personnelle, Doctolib se positionne à la fois comme responsable de traitement mais aussi comme sous-traitant. Si on comprend ici l’objectif poursuivit et la nécessité du traitement, ce mélange des genres peut poser problème lorsque Doctolib décide de devenir responsable de traitement pour les données des rendez-vous médicaux alors qu’il n’était auparavant que sous-traitant.

Ses obligations méconnues

Une autre problématique concerne les obligations que le sous-traitant doit respecter. Être sous-traitant n’est pas sans conséquence, bien au contraire. Des règles bien souvent méconnues existent et donnent à la fois beaucoup d’obligations aux sous-traitants et beaucoup de pouvoirs aux responsables de traitement.

J’en citerais deux principales. La première concerne l’obligation d’alerte du sous-traitant. D’après l’article 28 du RGPD, le sous-traitant doit immédiatement informer le responsable du traitement si, selon lui, une instruction donnée par le responsable de traitement au sous-traitant constitue une violation du RGPD ou d’autres lois. Pour Doctolib, j’ai pu démontrer que celui-ci ne semblait ne pas respecter cette disposition. J’ai un rendez-vous de vaccination Covid qui date d’environ un an qui reste affiché dans Doctolib alors la durée de conservation est censée être de 3 mois selon la décision 450163 du Conseil d’Etat. Dans mon cas, j’ai contacté l’APHP qui est responsable de traitement et qui m’a confirmé ne jamais avoir reçu d’information de la part de Doctolib.

Une autre mesure prévue par le RGPD est la possibilité pour les responsables de traitement d’effectuer des audits et inspections chez le sous-traitant. Pour Doctolib, cela signifie bien qu’un médecin qui est sur la plateforme peut faire une inspection chez Doctolib, seul ou avec un auditeur (d’ailleurs n’hésitez pas à me contacter si vous voulez le faire) !

Pour finir, et c’est ce qui est le plus problématique pour Doctolib selon moi, est l’absence d’effectivité du droit d’accès. Doctolib est responsable de traitement d’un certain nombre de données, pourtant il ne transmet pratiquement aucune de ces données lorsqu’on fait une demande d’accès, se cachant derrière son autre statut de sous-traitant. Par exemple, il traite les données des rendez-vous mais ne permet pas d’avoir accès à ces données. Un premier dédouanement.

Le contrôle de la conformité

Dans sa réponse au député Arthur Delaporte, le ministère de la santé tente lui aussi de se dédouaner. Sur le transfert de données personnelles à l’international, le ministère indique que seule la CNIL aurait la compétence de contrôler « l’efficience » des mesures pour garantir le respect du RGPD. C’est tout simplement faux. Comme décrit précédemment, tous les professionnels de santé sur Doctolib ont le droit d’auditer et inspecter le sous-traitant Doctolib grâce à l’article 28 du RGPD. Ensuite, toute personne concernée (les usagers du service, ici les patients) ont le droit d’obtenir une copie des « garanties appropriées ou adaptées » prises dans le cadre de ces transferts internationaux selon les articles 13 et 14 du RGPD. Pour finir, le ministère lui-même peut le contrôler dans le cadre du partenariat qu’il a avec Doctolib pour la vaccination Covid !

Le ministère peut d’autant plus contrôler la conformité au RGPD de Doctolib qu’il a l’obligation de le faire dans le cadre d’un processus qu’il cite dans sa réponse : le référencement de solutions tiers dans Mon Espace Santé, ce nouveau service du Ministère de la Santé. C’est la nouvelle mode depuis quelques années, la plateformisation de l’Etat. On créer un service public qui peut et parfois doit s’interfacer avec des produits du privé.

Doctolib a déjà été annoncé en mars comme pouvant être dans le catalogue de service de Mon Espace Santé. Le problème, ce catalogue n’était alors pas encore créé et aucun des organismes cités n’avait reçu l’autorisation d’être référencé. Je l’ai appris quand j’ai manifester mon indignation (pensant que Doctolib avait été référencé) à Judith Rochfeld, professeur à la Sorbonne, et nommée par la présidente de la CNIL dans la commission de référencement de Mon Espace Santé.

Pour être référencé dans Mon Espace Santé, il faut remplir un dossier et passer devant cette commission de référencement. Le produit pourra alors soit être simplement listé dans Mon Espace Santé, soit pouvoir échanger des données avec les patients par l’intermédiaire du service. Dans cette procédure de référencement, prévue par l’article R. 1111-37 du code de la santé publique, le ministère doit bien vérifier la conformité du produit candidat et le ministère indique l’avoir fait pour Doctolib « dans la limite de leurs compétences » (sic).

Et la patate chaude

Dans ce dossier, tous les acteurs semblent se refiler la patate chaude. De Doctolib qui ne transmet pas l’intégralité des données personnelles demandées en prétextant un contrat de sous-traitance, jusqu’au ministère de la Santé qui affirme que seule la CNIL peut contrôler. Et cette dernière ne se saisit par du sujet malgré plusieurs plaintes sur le sujet. Il ne reste plus que nous, les citoyens.

A ce propos on notera deux chose. Premièrement, on ne pourra que regretter que la commission de référencement n’a pas souhaité m’auditionner comme elle avait le pouvoir de le faire dans le cadre du référencement de Doctolib (tel que prévu par l’article 4 de l’arrêté du 24 février 2022). Ensuite, comme Doctolib va être référencé dans Mon Espace Santé, toute personne va pouvoir signaler des manquements. C’est ce qu’indique les points 1.9 et 1.14 du Processus de référencement des services numériques au sein du catalogue Mon espace Santé.

Un levier d’action supplémentaire, encore une fois à la charge des citoyens…