Doctolib partage-t-il vos données médicales avec des géants américains de l'IA ? Le Canard enchaîné a déclenché la polémique cette semaine, mais la réalité, documents à l'appui, est plus nuancée.

Doctolib est pointé du doigt par Le Canard enchaîné cette semaine. © Alexandre Boero / Clubic
Doctolib est pointé du doigt par Le Canard enchaîné cette semaine. © Alexandre Boero / Clubic

À la fin du mois d'avril, Doctolib prévenait par e-mail ses nombreux utilisateurs avoir modifié les règles encadrant l'utilisation de leurs données médicales, un changement qui n'est pas resté sans conséquence. En ce début de mois de juin, Le Canard enchaîné a révélé que ces nouvelles règles permettraient à des géants américains de l'intelligence artificielle de traiter les informations de santé de 90 millions de patients européens. Une accusation sérieuse, démentie par Doctolib, qui a transmis à Clubic des éléments que nous pouvons confronter avec ce que dit le Canard et avec les politiques de la plateforme, que nous avons pu lire. En rappelant qu'ici, il n'est question de prendre parti ni pour l'un, ni pour l'autre, mais d'apporter un maximum de neutralité.

Le Canard enchaîné accuse Doctolib de nourrir l'IA américaine avec vos données médicales, mais gare aux confusions

Depuis 2024, Doctolib propose aux médecins un assistant virtuel qui, pour 79 euros par mois, écoute la consultation et en rédige automatiquement un compte-rendu. Selon Le Canard enchaîné, ces notes médicales auraient ensuite servi à « entraîner », autrement dit, à alimenter et améliorer, les intelligences artificielles de Google (Gemini), Microsoft (Copilot) et Anthropic (Claude). Un scénario qui pourrait vite prendre des allures de scandale pour les 90 millions de patients européens de la plateforme.

La réponse de Doctolib a été ferme. La plateforme, qui a pignon sur rue en France pour la gestion des rendez-vous médicaux, et que l'on pourrait presque comparer à un service public dans les faits, ne vend pas de données de santé, ce serait d'ailleurs totalement illégal en Europe. Ce point-là est incontestable. Google, Microsoft et Anthropic ne sont que des prestataires techniques, au même titre qu'un sous-traitant classique. Comprenez donc qu'ils exécutent une tâche précise pour Doctolib, mais un contrat strict leur interdit formellement de récupérer ces données pour les utiliser à leur propre compte, et notamment pour améliorer leurs propres IA.

Est-ce que c'est ici que le Canard a commis une erreur ? Il est possible que le journal ait confondu deux opérations très différentes. Utiliser une IA, c'est lui soumettre une tâche ponctuelle, comme demander à un traducteur de traduire un texte. L'entraîner, c'est lui faire ingérer des milliers de données pour qu'elle apprenne et progresse. Quand Doctolib envoie une transcription à l'IA d'Anthropic pour la résumer, elle l'utilise comme un outil. Les données y transitent le temps du traitement, mais ne doivent ni y être conservées, ni servir à quoi que ce soit d'autre, c'est ce que garantit le contrat.

Capture d'écran de l'article du Canard enchaîné. © Clubic
Capture d'écran de l'article du Canard enchaîné. © Clubic

Ce que la liste des sous-traitants de Doctolib dit vraiment sur Google, Microsoft et Anthropic

La politique de confidentialité d'avril 2026 publie noir sur blanc la liste de tous les sous-traitants de Doctolib. Google, Microsoft Azure et Anthropic y apparaissent bien, avec une description précise : ils « mettent à disposition le modèle d'IA pour l'Assistant Santé ». Donc ils fournissent la technologie, comme un fabricant livre un outil, sans toucher aux données qui y transitent. Le Canard a peut-être interprété ce document, même si Doctolib aurait pu le rédiger plus clairement.

Un autre passage des mêmes documents mérite tout de même qu'on s'y arrête. Doctolib se réserve en effet le droit d'entraîner ses propres modèles d'IA, ses IA maison, en utilisant des données de santé rendues anonymes, transcriptions de consultations comprises. Pour le faire, la plateforme peut s'appuyer soit sur votre consentement explicite, soit sur une notion bien plus floue, l'« intérêt public ». C'est cette seconde porte, large et peu surveillée par la loi, qui pose vraiment question.

Doctolib précise que les données utilisées pour entraîner ses IA sont « pseudonymisées », c'est-à-dire que les informations permettant d'identifier directement un patient ont été remplacées par un code. Mais pseudonymisé ne veut pas dire anonyme : contrairement à l'anonymisation, qui est irréversible, la pseudonymisation laisse théoriquement ouverte la possibilité de retrouver qui se cache derrière les données. C'est précisément ce que pointe William Méauzoone, DG et co-fondateur de Leviia (une entreprise française spécialisée dans le stockage sécurisé de données de santé) : « des données médicales suffisamment précises peuvent permettre une réidentification. Ce n'est pas une théorie, c'est documenté. »

Le dernier point à soulever, c'est que les données stockées chez l'hébergeur Amazon Web Services sont chiffrées en permanence, et que seul le groupe Atos, Français de surcroît, détient les clés pour les déchiffrer. Mais les données en transit chez Google, Microsoft ou Anthropic, le temps d'être traitées par leurs IA, sont elles supposément lisibles et donc potentiellement accessibles aux autorités américaines via le Cloud Act ou le FISA, si l'une de ces entreprises y était contrainte. Un risque que Doctolib reconnaît dans ses propres documents, sans vraiment le quantifier.

Le logo AWS. © Alexandre Boero / Clubic

Doctolib, CNIL et IA américaine, un débat engagé

Au rang des réactions, celle de William Méauzoone a une certaine portée. Sa société est labellisée HDS (Hébergeur de Données de santé), et ses données sont entièrement hébergées en France. Doctolib passe par AWS, aussi labelisée HDS. « Nous confions des données à un médecin dans le cadre du secret médical, et ces données se retrouvent utilisées pour entraîner des modèles IA américains », s'indigne le dirigeant.

Deux questions précises restent sans réponse. Doctolib affirme que ses contrats interdisent à Google, Microsoft et Anthropic d'utiliser vos données à leur propre compte, mais ces contrats ne sont pas publics, et personne ne peut donc vérifier que cet engagement est bien respecté. La CNIL pourrait s'en charger, si elle décidait de se pencher sur le dossier. Reste aussi une seconde zone d'ombre : qui a décidé que l'entraînement des IA de Doctolib relevait de l'« intérêt public », et sur quelle base ?

Voilà une affaire qui montre aussi un certain vide juridique que personne ne s'évertue à combler, et qui peut poser question. On espère en tout cas vous avoir permis d'y voir plus clair et de faire les bonnes distinctions.