Jean-Luc Mélenchon est intervenu sur Twitter pour dénoncer le rôle de Doctolib dans la campagne de vaccination. Mais les critiques portées par le leader de La France Insoumise apparaissent en partie infondées. Et surtout, la situation d'urgence n'offrait pas d'alternative.

Sur la vaccination, une polémique chasse l’autre. Après les critiques sur les débuts très lents de la campagne vaccinale, puis les reproches adressés au gouvernement au sujet de l’accès ouvert aux données quotidiennes, voilà que c’est maintenant la présence de Doctolib dans les plans de l’exécutif qui fait parler d’elle. Et en pointe de la charge se trouve Jean-Luc Mélenchon.

Le leader de La France Insoumise est intervenu sur Twitter le 12 janvier pour se plaindre du rôle à ses yeux trop importants du site web spécialisé dans la prise de rendez-vous médical par Internet pour aider à l’organisation de la campagne de vaccination, via les centres qui sont mis en place sur tout le territoire national pour accueillir du public. Pour l’homme politique, ce travail devrait revenir à la puissance publique.

«  Emmanuel Macron décide d’un partenariat officiel avec Doctolib pour gérer les centres de vaccination. Une entreprise privée pourra donc ficher toute personne passée par ses mains. Encore une fois, mépris des services publics, choix contraint du privé et des données de santé privatisées », lance le parlementaire, en reprenant le tweet de Doctolib qui annonçait son partenariat avec l’État.

Pourquoi Doctolib joue-t-il un rôle dans la vaccination ?

Le mécontentement de Jean-Luc Mélenchon sur ce qui lui apparaît comme une mise à l’écart des services publics au profit du privé a toutefois entraîné un certain nombre de réactions. S’il peut être légitime de regretter l’absence d’une plateforme publique pour la tâche que s’apprête à accomplir Doctolib, quelques arguments plaident en fait pour se servir d’une telle entreprise.

Le premier d’entre eux, c’est que Doctolib est déjà rodé à l’exercice. Un temps, il a certes été envisagé de passer par l’application mobile TousAntiCovid, qui est devenue au fil du temps hub d’informations sur l’épidémie et un générateur d’attestations de sortie. Mais ce chantier a été délaissé devant sa complexité. S’il aurait peut-être pu être mené à bien, les délais étaient trop serrés compte tenu de l’urgence.

En particulier, TousAntiCovid aurait dû se brancher à Doctolib, et se mettre à traiter des données personnelles, alors même que tout a été fait — et que tout le monde réclamait — pour que l’application limite au maximum tout risque d’identification. En clair, l’orientation de TousAntiCovid ne collait pas avec ce changement de direction. En somme, autant résoudre la quadrature du cercle.

La page d’accueil de Doctolib. // Source : Capture d’écran

Cet empressement constitue d’ailleurs un second argument : l’épidémie n’a pas disparu, des variants du virus circulent en France et dans le reste du monde, une nouvelle flambée est possible, avec à la clé un troisième confinement. La priorité est donc à la vaccination, qui demeure très modeste à l’échelle du pays : à peine 130 000 individus ont eu une première dose, soit 0,2 % de la population.

Un dernier grand argument peut d’ailleurs être brandi : le site est très utilisé et connu de toutes et tous, ou presque. Il est capable de procéder à des gestions de rendez-vous dans des proportions que peu de sites seraient sans doute capables d’encaisser. C’est d’ailleurs ce que Doctolib s’est permis de rappeler à Jean-Luc Mélenchon, évoquant un site qui est utilisé par plus de 42 millions de Français et de Françaises.

Comme l’ajoute enfin le journaliste Raphaël Grably, ce n’est pas non plus Doctolib qui gère les centres de vaccination. L’entreprise n’est d’ailleurs pas la seule sélectionnée — il y en a deux autres, Maiia et Keldoc. Et le fait est que l’Assurance maladie ne dispose pas de sa propre solution de prise de rendez-vous. Peut-être faudra-t-il que cela change à l’avenir, mais le timing est défavorable pour tout changer maintenant.

« Les données de nos utilisateurs sont utilisées exclusivement pour la prise de rendez-vous »

Loin de vouloir partir en tweetclash avec le leader de La France Insoumise, le compte Twitter de l’entreprise s’est efforcé de modérer les assertions du politique : « Les données de nos utilisateurs sont sécurisées, utilisées exclusivement pour la prise de rendez-vous et sont la propriété des patients », ajoutant qu’il ne fait qu’accompagner «  simplement les soignants dans l’organisation des centres de vaccination ».

Les mesures de sécurité mises en place par Doctolib ne garantissent pas néanmoins une protection absolue contre tous les risques informatiques — mais une plateforme publique serait tout autant exposée aux mêmes menaces. Ainsi, Doctolib avait émis l’été dernier une alerte au sujet de données personnelles ayant pu être consultées frauduleusement. Par ailleurs, le nom de Doctolib sert hélas à des campagnes de phishing.

Un cadre juridique s’impose à Doctolib

Dans d’autres réponses, adressées à des internautes perplexes, Doctolib a insisté sur le fait que les données de santé ne servent qu’à « permettre aux professionnels et établissements de santé de gérer leur patientèle et leurs consultations » et à « aider les patients à gérer leur santé en ligne ». Le public a la possibilité d’opposer son refus de tout traitement par le site. Ce traitement exclut la publicité ou la vente de services.

Doctolib a toutefois fait l’objet de critiques sur des écarts quant à la façon dont il se sert des données de santé. C’est ce que mettait en lumière une enquête de France Info début 2020, titrée Comment Doctolib se sert de nos données de santé. Son rapport avec le corps médical a aussi été l’objet de controverses, en faisant payer quand même des praticiens qui ne peuvent plus consulter en plein confinement.

La réglementation en Europe n’interdit pas à des prestataires privés de participer au traitement et à l’hébergement de données de santé. Néanmoins, compte tenu de leur nature particulière, des dispositions renforcées doivent être prises pour assurer leur sécurité et leur intégrité. C’est ce que rappelle la Commission nationale de l’informatique et des libertés (CNIL) sur son site.

S’adressant aux professionnels de santé, la CNIL indique que s’ils passent par un prestataire qui traite des données en leur nom et pour leur compte (ex : hébergement de données par un hébergeur de données de santé agréé ou certifié, etc.), « celui-ci doit, en tant que sous-traitant, vous garantir un niveau de sécurité adapté au risque ». En effet, les données de santé sont des données par nature sensibles.

En matière d’hébergement, Doctolib explique dans sa politique de protection des données à caractère personnel que «  les données à caractère personnel (y compris de santé) des patients qui utilisent les services de Doctolib sont hébergées par un hébergeur d’infrastructure physique et infogéreur ayant reçu la certification HDS (Hébergeur de Données de Santé). »

En matière de données personnelles, et tout particulièrement de données de santé, il n’est pas permis de faire n’importe quoi. // Source : Illustration par Lucie Benoit pour Numerama

Doctolib explique que le recours à un hébergeur certifié HDS est une nécessité pour « respecter les dispositions du Code de la santé publique ». Par ailleurs, Doctolib rappelle qu’il est soumis aux différentes réglementations en France et en Europe, qu’il s’agisse du Règlement général sur la protection des données (RGPD), et plus spécifiquement de la loi sur l’informatique et les libertés.

Une polémique dans la polémique risque toutefois éclater, car l’hébergeur auquel a recours Doctolib est Amazon Web Services  — une plateforme américaine. Cela ne veut pas dire qu’elle a accès aux données de santé ou aux informations de prises de rendez-vous, mais la controverse sur l’implication de Microsoft dans l’hébergement du Health Data Hub (HDH) est en tous points similaire.

Dans une autre page rédigée par Doctolib, la société précise ainsi que «  les données de santé des patients sont protégées avec le plus haut niveau de sécurité […]. Seuls les patients et leurs professionnels de santé peuvent accéder aux données ». En particulier, il est signalé un chiffrement «  systématique et à plusieurs niveaux », qui permet par exemple d’éviter qu’on les consulte à tort, y compris après un piratage.

Le fichage dont parle Jean-Luc Mélenchon paraît en outre peu probable dans la mesure où la loi permet au public de demander à la suppression de leurs données à tout moment. La conservation n’apparaît pas non plus avoir d’intérêt pour Doctolib, car en faire commerce l’exposerait à des poursuites selon les termes de L1111-8 du Code de la santé publique (5 ans de prison et 300 000 euros d’amende)

Il existe une problématique sur le « fichage », mais qui est à chercher du côté du système d’information VaccinCovid, qui contient les personnes vaccinées contre le covid-19. Cela ne signifie pas que cette base de données est illégitime ni sans base juridique : en effet, cette base est requise la nécessité de pouvoir suivre les patients, à la fois administrativement et médicalement.

(mise à jour du sujet avec des éléments complémentaires sur Doctolib, concernant l’enquête de France Info et des remarques générales sur la sécurité des données)

Partager sur les réseaux sociaux

La suite en vidéo