Sept ans de consultations, une soixantaine de rendez-vous, deux ou trois ordonnances récupérées en PDF. C'est un ordre de grandeur banal pour un compte Doctolib actif. À partir d'août 2026, tout cela nourrira un projet de recherche en intelligence artificielle sur le parcours de soins sauf si vous vous y opposez explicitement. Doctolib a commencé à envoyer un email d'information le 7 juillet.
Ce que Doctolib annonce précisément
Le projet s'appelle « Améliorer les parcours de soins grâce à l'intelligence artificielle ». Il est mené avec l'équipe Heka, une équipe-projet commune à l'Inria, à l'Inserm et à l'Université Paris Cité. Doctolib annonce en parallèle la création d'un laboratoire de recherche en santé et affirme que tous les travaux seront publics. L'enveloppe communiquée pour l'IA en 2026 est de 160 millions d'euros dont 20 millions pour ce laboratoire.
Les données concernées sont celles collectées à travers l'usage normal du service : profils utilisateurs, historiques de rendez-vous, échanges avec les praticiens, documents déposés dans le compte. Ce sont des données de santé au sens du RGPD, une catégorie particulière protégée par l'article 9 du règlement et soumise à un régime renforcé.
Le projet est prévu pour trois ans, avec une conservation des données de cinq ans au maximum. Et il ne s'agit pas que de vous : l'email précise que les données de vos proches rattachés à votre compte sont aussi concernées, qu'elles aient été renseignées par vous ou par vos soignants. Un enfant dont vous gérez les rendez-vous ou un parent âgé entre dans le dispositif sans avoir rien signé.
Doctolib indique que les données utilisées ne permettent pas de vous identifier directement. La formule mérite attention : « pas directement » ne veut pas dire anonyme. Des données de santé détaillées restent souvent ré-identifiables par recoupement. La base légale invoquée est l'intérêt légitime (article 6.1.f du RGPD), combiné à la méthodologie de référence MR-004 de la CNIL qui encadre les recherches sur données existantes.
Pourquoi ça mérite plus qu'un haussement d'épaules
L'intérêt légitime est une base juridique valable. Elle n'a rien d'illégal en soi. Ce qu'elle permet, en revanche, c'est de traiter des données sans demander l'accord actif de la personne, à condition que l'intérêt de l'organisation soit sérieux et qu'il ne prive pas la personne de ses droits. La conséquence pratique : c'est à vous d'aller cliquer si vous voulez sortir du dispositif.
Sur des données bancaires ou des habitudes d'achat, cet arbitrage est déjà discutable. Sur des données de santé de plus de 60 millions de personnes en France, il pose une question de fond. Doctolib est devenu un point de passage quasi obligé pour prendre rendez-vous chez un médecin, un dentiste ou un kiné. En novembre 2025, l'Autorité de la concurrence a d'ailleurs sanctionné la plateforme à hauteur de 4,66 millions d'euros pour abus de position dominante, sur un dossier distinct des sujets RGPD.
La CNIL, interrogée par Next au moment de la publication, n'avait pas encore répondu sur les formalités préalables applicables au projet. À suivre.
Comment vous opposer, concrètement
Doctolib a mis en ligne un formulaire d'exclusion accessible sans compte. Vous n'avez pas besoin de vous connecter pour l'utiliser. Il demande trois informations : prénom, nom, date de naissance. Le formulaire doit être rempli pour chaque personne concernée. Si vos enfants ont un compte ou si vous gérez celui d'un parent âgé, c'est une soumission séparée à chaque fois.
Autre échéance à garder en tête : Doctolib prévient que la suppression de vos données ne sera plus possible une fois les recherches finalisées, pour préserver la validité scientifique du projet. La fenêtre pour agir se referme.
Vous pouvez aussi profiter du moment pour exercer votre droit d'accès (article 15 du RGPD) et demander à Doctolib la liste complète des données stockées sur votre compte. La demande s'envoie au même DPO. Elle est gratuite et Doctolib doit répondre sous un mois.
Le vrai levier : contrôler activement ce qui reste ouvert
Ce dossier illustre un mécanisme qui structure de plus en plus le numérique : les services collectent, agrègent, puis annoncent un nouvel usage. Le consentement initial est trop ancien ou trop large pour être utilement rejoué. Les régulateurs autorisent les nouveaux usages sur des bases légales qui reposent sur votre inertie. Sortir du dispositif redevient un travail actif.
Sur un compte que vous utilisez encore, s'opposer est le bon geste. Sur les dizaines de comptes que vous n'utilisez plus mais qui continuent d'héberger votre nom, votre adresse, votre numéro de téléphone ou votre email, le geste équivalent est de les fermer. Chaque compte inutilisé est une base légitime en sommeil pour un futur usage secondaire que vous n'avez pas anticipé. Savez-vous combien de services détiennent aujourd'hui vos coordonnées et vos historiques, sans que vous ayez de raison d'y retourner ? Fairmi vous aide à faire ce tri, un service à la fois.