C’est une annonce qui n’a pas échappé à l’État, mais aussi aux professionnels de santé. Le 20 novembre dernier, Doctolib a annoncé la création d’un carnet de santé numérique. Une véritable polémique s’en est suivie, car il viendrait concurrencer le service public déjà en place. Qu’ils soient publics ou privés, ces carnets numériques soulèvent de nombreuses questions sur la protection des données de santé, certains craignant que la privatisation affaiblisse la sécurité des données médicales.
Lancé en 2022 par le ministère de la Santé et l’Assurance maladie, « Mon Espace Santé » a remplacé le Dossier Médical Partagé (DMP). Toutefois, si le nom a changé, le principe est resté le même: stocker numériquement les documents de santé tels que les ordonnances, résultats d’examens et comptes rendus. Si cette centralisation a été mise en avant par de nombreux practiciens, permettant ainsi d’éviter la perte de documents importants ou faciliter leur accès, il fait aujourd’hui face à un nouveau concurrent, « Santé », une nouvelle fonctionnalité mise en place par la licorne Doctolib effective courant 2025. Une avancée qui soulève des questions sur la sécurité des données dans le domaine médical ainsi que leur privatisation.
Une normalisation stricte
En France, la sécurité des données reste réglementée par différentes normes, notamment le Règlement Général sur la Protection des Données personnelles (RGPD). Ce dernier témoigne de l’engagement d’une entreprise à protéger les données personnelles pouvant être utilisées.
Mais dans le domaine de la santé, ces données sont soumises à des exigences supplémentaires. La certification Hébergeurs de données de santé (HDS) qui s’appuie sur la norme ISO/IEC 27001, est également requise.« Les prestataires qui obtiennent la certification HDS ont le droit d’héberger des données de santé en France. ‘Mon Espace Santé’ existe depuis longtemps, ce sont des données herbergées par des prestataires HDS, c’est OVH qui est certifié par l’État », explique Rémi Gascou, consultant senior cybersécurité et hacker éthique.
« Les prestataires qui obtiennent la certification HDS ont le droit d’héberger des données de santé en France. ‘Mon Espace Santé’ existe depuis longtemps, ce sont des données herbergées par des prestataires HDS, c’est OVH qui est certifié par l’État »
– Rémi Gascou, consultant senior cybersécurité et hacker éthique
Étant considérées comme sensibles, ces données font l’objet d’un accès strictement encadré par la loi pour protéger les droits des personnes. Ces normes semblent renforcer la sécurité de l’e-santé et le suivi des patients.
Un manque de moyens pour la sécurité numérique
Cependant, si sur le papier les différentes réglementations imposées par le législateur garantissent une certaine sécurité des données dans le domaine médical, en réalité, le secteur hospitalier fait face à de nombreuses attaques numériques. « J’ai travaillé avec beaucoup d’hôpitaux, et la sécurité est catastrophique dans ceux que j’ai testés. Beaucoup se font attaquer par des ransomwares », explique Rémi Gascou, consultant senior en cybersécurité et hacker éthique. Entre 2022 et 2023, trente hôpitaux français ont été victimes de cyberattaques, selon un rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi), publié en octobre 2024.
« J’ai travaillé avec beaucoup d’hôpitaux, et la sécurité est catastrophique dans ceux que j’ai testés. Beaucoup se font attaquer par des ransomwares »
– Rémi Gascou, consultant senior cybersécurité et hacker éthique
Cette vulnérabilité s’explique en partie par la gestion de grandes quantités de données sensibles et par un faible investissement dans la cybersécurité et la formation du personnel. « Il y a un manque de moyens général, et encore plus sur le numérique », ajoute Rémi Gascou.
Du côté des professionnels de santé, l’inquiétude est également présente. « Je ne sais pas si les médecins qui utilisent ces données numériques savent que la plateforme récupère des données comme les adresses e-mail, numéros de téléphone etc. Les données sont envoyées à Google, on le voit avec les cookies », souligne Patricia Lefebure, présidente de la Fédération des médecins de France (FMF).
La privatisation des données: un enjeu de sécurité
Dès 2025, les données numériques des patients ne seront plus seulement accessibles via le service public, elles seront disponibles sur la plateforme Doctolib. Une privatisation qui pourrait renforcer la sécurité des données.
« Sur le papier, la sécurité de Doctolib et de Mon Espace Santé est testée de la même manière, par des hackers éthiques. En réalité, le service public a moins de budget. Trouver une faille dans ‘Mon Espace Santé’ c’est 2 000 à 3 000 euros, sur Doctolib 20 000 euros. Ce n’est pas rentable de chercher longtemps, car les hackers sont payés moins cher », explique Rémi Gascou, consultant senior cybersécurité et hacker éthique.
Au-delà du budget, l’accès aux données n’est pas le même sur les deux plateformes. « Sur ‘Mon Espace Santé’, tous les professionnels peuvent accéder à vos dossiers, sur Doctolib c’est aux utilisateurs de transmettre les documents qu’ils souhaitent donner au praticien », ajoute Rémi Gascou. Un système considéré comme « beaucoup plus ergonomique » par l’expert, mais qui comporte aussi ses limites.
Vers une commercialisation de la donnée
Si la privatisation des données permet d’avoir plus de budget pour la sécurité, elle présente également certains risques. « Doctolib, il y a un but lucratif, pour l’instant c’est bien géré. Mais on ne sait pas si, sur le long terme, une IA sera entraînée pour prédire qu’il faut aller chez le dermatologue tous les deux ans », souligne Rémi Gascou.
Un avis partagé par de nombreux professionnels de santé, notamment Patricia Lefebure, présidente de la FMF: « Doctolib c’est un fond de commerce, il faut que les gens fassent attention car leurs données vont être commercialisées. Personnellement, je n’ai pas voulu que mon dossier soit créé. »
« Doctolib c’est un fond de commerce, il faut que les gens fassent attention car leurs données vont être commercialisées. Personnellement, je n’ai pas voulu que mon dossier soit créé »
– Patricia Lefebure, présidente de la Fédération des médecins de France (FMF)
Cette méfiance est également renforcée par un manque de transparence concernant les données transmises. « Maintenant, pour un rendez-vous à l’hôpital ou pour voir un spécialiste, les patients sont obligés de passer par cette plateforme donc obligés de founir leur coordonnées. Cela me choque qu’ils n’aient pas le choix et qu’ils ne soient pas informés », précise Patricia Lefebure.
À partir du 1er trimestre 2025, le dispositif de Doctolib est déjà appelé à évoluer avec l’introduction de rappels personnalisés. L’intégration de l’IA, déjà discutée dans ce secteur, risque également de faire débattre professionnels de santé, patients et experts pendant encore longtemps.
Pour aller plus loin:
IA générative : tout le monde en parle mais personne n’explique
Crédit Image à la Une : pexels