Menu
× Accueil Le grand nettoyage Supprimer un compte Blog Extension Chrome En savoir plus
← Blog Droits et données Initié 5 min

Doctolib, Google, Anthropic : ce que disent vos données médicales et ce que vous pouvez faire

Une consultation médicale dure quinze minutes. Dans certains cabinets équipés du nouvel assistant de Doctolib : un micro écoute, transcrit, puis génère le compte-rendu et le courrier au confrère. Le praticien gagne du temps. Mais que devient la transcription ? À qui passe-t-elle pour produire ce résumé ? C'est exactement la question que pose Le Canard enchaîné du 2 juin 2026 qui affirme que Doctolib « transmet la plupart de ses informations à Google, Microsoft et Anthropic pour entraîner ses propres modèles d'intelligence artificielle ». Doctolib dément catégoriquement. Le différend mérite d'être démêlé parce qu'il porte sur un sujet extrêmement sensible les données personnelles de santé de près de 90 millions d'utilisateurs en Europe.

Ce que dit Le Canard et ce que répond Doctolib

L'hebdomadaire vise l'assistant de consultation lancé en 2024 qui écoute les échanges patient-soignant, en produit une synthèse et propose un compte-rendu plus un courrier de correspondance. Pour fonctionner, cet assistant s'appuie sur des modèles d'IA générative, dont ceux de Google (Gemini), de Microsoft (Azure OpenAI) et d'Anthropic (Claude). Selon le Canard Enchaîné, ces données serviraient à entraîner les modèles des trois fournisseurs.

La réponse de Doctolib se décline en trois niveaux.

  1. D'abord la localisation : les données « sont hébergées exclusivement en France et en Allemagne, chiffrées en permanence au repos et en transit », avec les clés de chiffrement stockées chez Evidian (filiale d'Atos).

  2. Ensuite le statut contractuel : Google, Microsoft et Anthropic interviennent comme « prestataires techniques » dans « un cadre contractuel strict qui leur interdit de conserver ou d'exploiter les données pour leur propre compte ».

  3. Enfin, l'entraînement : si Doctolib entraîne ses propres modèles à partir de notes de consultation, c'est conditionné à une « autorisation séparée » du praticien ou à un « consentement du patient » qui peuvent être retirés à tout moment.

Les deux versions sont compatibles. A un détail près.

La sous-traitance technique n'est pas une zone neutre

En droit, un sous-traitant au sens du RGPD ne peut traiter les données que sur instruction du responsable de traitement et ne peut pas les réutiliser à ses propres fins (article 28 du RGPD). Sur le papier, le cadre invoqué par Doctolib est solide : Google, Microsoft et Anthropic recevraient une transcription, généreraient un compte-rendu puis n'auraient pas le droit de conserver les données.

C'est ce que ces fournisseurs proposent à leurs clients entreprises sous l'appellation « no-train » ou « zero data retention ».

Le problème, c'est qu'un engagement contractuel n'est pas un dispositif technique. Vérifier qu'une trace n'a pas été conservée dans une infrastructure tierce relève d'un audit lourd.

Plus gênant, Doctolib ne mentionne pas dans sa communication publique le second problème soulevé par le Canard et qui est tout sauf un détail : le Cloud Act américain. Ce dernier permet aux autorités américaines d'exiger d'une entreprise de droit américain qu'elle remette les données qu'elle détient ou contrôle y compris celles hébergées en Europe. C'est la raison pour laquelle la Cour de justice de l'Union européenne a invalidé en 2020 le mécanisme Privacy Shield dans l'arrêt Schrems II.

Le chiffrement « au repos et en transit » mis en avant par Doctolib n'empêche pas une réquisition portant sur les clés ou les capacités de déchiffrement chez le fournisseur. Le sujet est a déjà été largement évoqué en France avec le Health Data Hub, plateforme nationale des données de santé. Son hébergement chez Microsoft Azure a été critiqué et contesté précisément pour ce motif avec une décision du Conseil d'État qui a admis le risque tout en laissant la plateforme fonctionner en attendant une migration vers un hébergeur strictement européen.

Vos données de consultation sont des données sensibles

Une transcription de consultation contient ce que le RGPD qualifie de « données concernant la santé », classées par l'article 9 dans les « catégories particulières de données », ce que la CNIL appelle plus simplement les données sensibles. Leur traitement est en principe interdit, sauf cas listés : consentement explicite, exécution d'un contrat de soin, intérêt vital, etc. Le régime est plus strict que pour vos données ordinaires : la base légale doit être documentée et le consentement éventuel doit être recueilli de manière éclairée et spécifique.

Sur le statut de Doctolib lui-même, le débat n'est pas tranché. Doctolib se présente comme sous-traitant du professionnel de santé (au sens de l'article 28 du RGPD) ce qui le mettrait dans un rôle exécutant qui agit sur instruction du médecin. Pour l'assistant IA, cette qualification est plus discutée. Décider d'écouter la consultation, de la transcrire, de produire un compte-rendu et de stocker la sortie : ce n'est pas seulement « exécuter une instruction technique ». Cela relève aussi de la définition des finalités d'un traitement, ce qui relève normalement du responsable de traitement. La question pourrait revenir devant la CNIL.

C'est sur ce dernier point que la communication de Doctolib est ambiguë. L'autorisation pour entraîner les modèles est demandée séparément. Mais à qui ? Le praticien autorise au nom de qui ? Le patient consent quand exactement ? à quoi précisément ? Sachant qu'il découvre souvent l'existence de l'assistant IA en arrivant en consultation… La presse ne le détaille pas.

La page Doctolib qui doit l'expliquer est aujourd'hui protégée par un CAPTCHA qui empêche d'en consulter le contenu depuis les services automatisés.

Ce que vous pouvez faire dès maintenant

Si vous êtes patient et que votre médecin vous propose ou impose l'assistant IA pendant la consultation, vous pouvez refuser. Le RGPD ne vous oblige à rien : la consultation peut se dérouler sans transcription automatique. Demander explicitement au praticien si l'assistant est activé fait partie de votre droit à une information préalable garanti par les articles 13 et 14 du RGPD.

Pour savoir ce que Doctolib détient sur vous, vous pouvez exercer votre droit d'accès (article 15 du RGPD). La demande s'adresse au délégué à la protection des données dont les coordonnées figurent dans la politique de confidentialité de Doctolib accompagnée d'une copie d'une pièce d'identité. Le délai légal de réponse est d'un mois. Vous pouvez demander de manière distincte les transcriptions ou comptes-rendus générés par l'assistant ainsi que la liste des sous-traitants ayant accédé à vos données.

Si vous souhaitez faire effacer les transcriptions, le droit à l'effacement (article 17) peut être exercé auprès du même délégué. Pour les données de santé, ce droit cohabite avec des obligations de conservation par les professionnels eux-mêmes (le dossier médical reste chez le médecin, qui est responsable de traitement distinct). La demande à Doctolib porte donc surtout sur ce qui dépasse le strict nécessaire à votre rendez-vous : la transcription brute, les éventuels comptes-rendus stockés au-delà de la durée utile à votre suivi, les données techniques.

Enfin, en cas de doute sur la réponse, vous pouvez saisir la CNIL via son formulaire de plainte. Plus la CNIL reçoit de signalements concrets, plus elle dispose de matière pour engager un contrôle.

Ce qui se joue au-delà du cas Doctolib

L'épisode est révélateur d'une réalité que la promesse « hébergé en Europe » ne suffit plus à masquer : la chaîne des sous-traitants d'un acteur comme Doctolib compte 33 maillons, dont AWS, Salesforce, Microsoft Azure, Google et Anthropic. Chacun ajoute une surface de risque, contractuelle et géopolitique. Le RGPD a posé en 2018 un cadre où chaque maillon est censé répondre de ce qu'il fait des données. Sa mise à l'épreuve dans des architectures hybrides cloud-IA n'a pas encore produit de jurisprudence claire.

Le débat technique sur « les modèles sont-ils entraînés ou pas » occulte d'ailleurs la vraie question pour vous, patient : à supposer que personne n'entraîne rien à partir de vos consultations, voulez-vous que la transcription d'un échange intime avec votre médecin transite par une infrastructure soumise au droit américain, même chiffrée, même brièvement ? C'est une question de souveraineté autant qu'une question juridique. C'est une réponse que chacun peut commencer à exiger de son médecin, de Doctolib et de la CNIL.

Dans la même série

Initié

Comment utiliser une IA générative sans lui livrer vos données : la check-list CNIL

La CNIL publie avec son homologue coréen une affiche en 6 questions pour utiliser une IA générative sans lui livrer ses données. Décryptage et limites.

5 min
Initié

Comment savoir si une entreprise sécurise vraiment vos données

La CNIL a publié son guide officiel de la sécurité des données et vient de tirer le bilan d'une année record de sanctions. Voici ce qu'une entreprise doit faire pour vos données et comment le vérifier de l'extérieur.

5 min
Initié

Apps de rencontre : ce que les chercheurs ont trouvé dans vos données

Une équipe de KU Leuven a passé 15 apps de rencontre au crible. Sur 6 d'entre elles, n'importe quel utilisateur peut retrouver l'adresse précise d'un autre. Ce que vous partagez vraiment quand vous swipez.

5 min