M. Arthur Delaporte appelle l'attention de M. le ministre de la santé et de la prévention sur la gestion et la sauvegarde des données de santé des plateformes numériques destinées à la prise de rendez-vous de santé. En effet, la protection des données de santé, faisant l'objet de dispositifs spécifiques (RGPD, loi informatique et liberté, code de la santé publique), représente un enjeu essentiel au titre des libertés individuelles et du secret médical. Or la plateforme Doctolib, qui se trouve en situation monopolistique de fait, suscite les inquiétudes des utilisateurs en raison d'un changement de politique de confidentialité et des conditions d'utilisation. Depuis le 31 août 2022, l'entreprise peut ainsi collecter un certain nombre de données personnelles concernant l'âge, le sexe, la profession de l'utilisateur mais également la durée des téléconsultations ou encore leur motif. Ce changement intervient alors que cette même plateforme dispose de sous-traitants à l'étranger, aux États-Unis d'Amérique notamment. Par ailleurs, des questions subsistent concernant le chiffrement des données, inégal selon le parcours utilisateur (notamment pour la prise de rendez-vous). Il lui demande en conséquence s'il va prendre toutes les mesures afin de garantir l'absolue protection des données de santé des utilisateurs des plateformes et le respect de leur vie privée et s'il compte faire toute la transparence sur la politique de confidentialité de Doctolib.
Doctolib est une entreprise privée qui propose plusieurs services numériques aux établissements et professionnels de santé permettant notamment de gérer la prise de rendez-vous en ligne de leurs patients, de réaliser des téléconsultations avec eux, ou encore de gérer un cabinet médical avec les dossiers électroniques des patients. En fonction de la nature du service utilisé par l'établissement ou le professionnel de santé concerné, les finalités ne sont pas les mêmes et les données personnelles concernant les patients, collectées et traitées par Doctolib, sont de nature différente. La société Doctolib intervient dans un secteur concurrentiel sur l'ensemble des prestations qu'elle propose (logiciel de prise de rendez-vous en ligne, logiciel gestion de cabinet, logiciel de téléconsultation notamment) où d'autres acteurs, français ou internationaux, proposent des services similaires. Cette concurrence est bénéfique aux utilisateurs qui ont le choix des services de santé numérique. Par exemple, lors du Covid-19 plusieurs plateformes du marché ont été financées par l'Etat pour équiper les centres de vaccination. Néanmoins, la réalité de la notoriété marquée de Doctolib en tant plateforme de prise de rendez-vous en ligne en a fait la solution la plus utilisée de l'offre existante. L'ensemble de ces acteurs, qu'ils soient éditeurs de services numériques ou professionnels de santé, sont soumis au respect de la réglementation en vigueur s'agissant notamment de la protection des données personnelles. Ainsi, en tant que société privée ayant une activité sur le territoire français, la société Doctolib doit respecter le règlement général sur la protection des données du 27 avril 2016 (RGPD), la Loi informatique et libertés du 6 janvier 1978 modifiée et le code de la santé publique. Le ministère de la santé et de la prévention définit notamment le cadre à respecter pour permettre un échange sécurisé de données de santé, en fixant des exigences pour les éditeurs de services numériques en santé tels que Doctolib, dans des référentiels opposables. C'est par exemple le cas de l'identification électronique ou pour l'hébergement des données de santé, dont le référentiel est en train d'être mis à jour. Ces référentiels, mis en place en concertation avec la commission nationale de l'informatique et des libertés (CNIL) et l'agence nationale de la sécurité des systèmes d'information (ANSSI), contribuent à assurer aux usagers et aux professionnels de santé que les données personnelles collectées dans le cadre d'une prise en charge médicale sont sécurisées. D'autres référentiels devraient venir compléter le dispositif. Par ailleurs, dans la limite de leurs compétences, les services chargés du référencement au catalogue de services de mon espace santé tel que prévu à l'article R. 1111-37 du code de la santé publique ont pu vérifier la conformité de la solution de prise de rendez-vous de Doctolib aux référentiels opposables. En cas de non-respect par les plateformes de la réglementation relative à la protection des données personnelles, des sanctions sont applicables par les autorités compétentes. En France, c'est la CNIL qui est chargée de veiller au respect du RGPD. Elle a le pouvoir de prononcer des amendes administratives ainsi que des sanctions pénales si elle constate des manquements. La plateforme Doctolib stocke les données de santé à caractère personnel qu'elle collecte sur le territoire de l'Union européenne via un hébergeur certifié « hébergeur de données de santé ». Doctolib indique en effet dans sa politique de protection des données personnelles (B2C-PrivacyPolicy-July-22-FR (doctolib.com) ) avoir recours à des sous-traitants, dont certains se situent hors de l'Union européenne dans des pays n'offrant pas un niveau de protection adéquat au sens de l'article 45 du RGPD. Doctolib précise prendre des mesures pour assurer le respect du RGPD dans ce cas. Il relève à cet égard de la seule compétence de la CNIL de contrôler, le cas échéant, l'efficience de ces mesures. D'une manière plus générale, Doctolib propose une information détaillée à ses utilisateurs, accessible en ligne, quant aux mesures prises pour veiller à la protection des données de santé : confidentialité des données personnelles (doctolib.fr). Le corpus de règles à respecter par Doctolib, ainsi que le rôle central de la CNIL sur ces questions de protection des données à caractère personnel, sont de nature à apaiser les craintes.
Aucun commentaire n'a encore été formulé sur cette question.