Le Canard Enchaîné a révélé le 2 juin que les notes de consultation captées par l’assistant IA de Doctolib alimentaient des modèles développés avec Google, Microsoft et Anthropic. La plateforme conteste les termes de l’enquête et apporte des précisions sur l’architecture technique et les conditions de traitement des données.
Ce que révèle le Canard Enchaîné
Depuis 2024, Doctolib propose aux médecins un assistant virtuel de transcription des consultations, facturé 79 euros par mois. Selon l’hebdomadaire, la politique de protection des données de la plateforme indique que ces notes participent à l’entraînement de modèles d’IA développés avec Google (Gemini), Microsoft (Copilot) et Anthropic (Claude), en contradiction avec l’engagement public de Doctolib selon lequel “aucun tiers ne peut accéder au contenu des notes médicales.”
Le Canard Enchaîné soulève également la question du Cloud Act américain : même hébergées en Europe, les données détenues par des entreprises américaines peuvent théoriquement être requises par la justice des États-Unis. L’hebdomadaire mentionne par ailleurs un contrat avec un prestataire californien hébergeant des données sur le sol américain. Les données concernées, antécédents, prescriptions, données biologiques, permettent potentiellement la réidentification d’un patient et peuvent être conservées après son décès. Interrogée, la CNIL a indiqué au journal ne pas être “en mesure de se prononcer sur la légalité” du dispositif. Le Canard Enchaîné relève enfin que Doctolib a consacré en 2025 près de 500 000 euros au lobbying auprès des parlementaires français et 300 000 euros auprès des institutions européennes.
La réponse de Doctolib
Suite à une publication sur notre site, Doctolib a pris contact avec notre rédaction pour contester les conclusions du Canard Enchaîné et nous transmettre les éléments suivants.
Sur le rôle de Google, Microsoft et Anthropic : ces sociétés interviennent comme prestataires techniques fournissant des capacités de traitement du langage. Un cadre contractuel strict leur interdit de conserver ou d’exploiter les données pour leur propre compte, et en particulier d’en nourrir leurs propres modèles. Les notes de consultation n’entraînent pas leurs modèles d’IA.
Sur le risque Cloud Act : les données médicales sont hébergées exclusivement dans l’Union européenne, chiffrées en permanence. Les clés de déchiffrement sont détenues en France par Evidian (groupe Atos), et non par l’hébergeur américain. Ce qu’une autorité américaine pourrait théoriquement requérir se réduirait à des fichiers chiffrés inexploitables.
Sur l’utilisation des données pour les propres modèles de Doctolib : elle est conditionnée à un consentement explicite et séparé du praticien et du patient, révocable à tout moment.
Sur le prestataire californien mentionné par le Canard Enchaîné sous le nom de “Meltio”, qu’il s’agit en réalité de Reltio : ce prestataire ne traite aucune donnée médicale et est utilisé uniquement pour constituer les fiches des soignants à partir de sources publiques.
Doctolib indique avoir transmis un droit de réponse formel au Canard Enchaîné.
