Pendant plusieurs mois, Facebook a reçu les requêtes des utilisateurs ainsi que leur identifiant marketing et leur adresse IP. Pour le moment, la direction ne s'est pas justifiée.

Selon le média allemand Mobilsicher, Doctolib aurait envoyé les mots-clés tapés par les utilisateurs dans le moteur de recherche de la plateforme à Facebook et Outbrain, pendant plusieurs mois. Pour quelles raisons ? Nous ne le savons pas clairement pour le moment. Depuis la découverte de ce partage de données, la plateforme médicale a stoppé cette pratique.

Pourquoi nos données médicales intéressent-elles Facebook ?

C'est en effectuant une analyse de la version allemande de Doctolib, que des journalistes allemands ont découvert que la plateforme médicale envoyait les recherches effectuées par les utilisateurs à Facebook et Outbrain. Si un internaute allemand tapait dans sa barre de recherche les termes “allergies” ou bien “cancer du sein”, les requêtes étaient envoyées à l'identique aux deux partenaires de Doctolib. Facebook et Outbrain recevaient également l’identifiant marketing correspondant à l'utilisateur (le FacebookID ou le MarketerID), ainsi que l’adresse IP.

Même sans les connaître officiellement, on peut imaginer les raisons de ce transfert de données médicales… Avec toutes ces informations, Facebook pouvait très facilement cibler les utilisateurs avec les bonnes publicités, en fonction de leur pathologie. Chez Doctolib, le secret médical semble être un concept lointain. L'analyse de la version allemande de la plateforme a eu lieu le 18 juin. Trois jours plus tard, le 21 juin, Doctolib a immédiatement stoppé l'envoi des données à Facebook. Les deux mouchards ont été supprimés. Selon la direction de Doctolib, ces deux trackers auraient servi à “mesurer le succès”… Une explication floue qui ne convainc pas.

Doctolib va devoir se justifier

La plateforme a du mal à se justifier sur l'envoi des données médicales à Facebook et Outbrain. Pour l'instant, nous ne savons pas vraiment si ces transferts de données ne concernaient que doctolib.de. Il est possible que la même stratégie ait été appliquée en France sur doctolib.fr et sur d'autres marchés européens.

Aujourd'hui, Doctolib a probablement stoppé l'envoi des données à Facebook dans toutes les versions de sa plateforme. Il est désormais impossible de trouver une preuve de cette pratique sur le site français. Alors que la plateforme est passée de 1 000 consultations par jour à 100 000 depuis le début de la crise sanitaire, cet exemple est typique du risque que peuvent représenter de telles applications pour les données médicales des internautes.

La politique de protection des données médicales était pourtant devenue le cheval de bataille de Doctolib. Comme quoi, il faut parfois creuser un tout petit peu pour découvrir des pratiques dont l'entreprise ne se vante pas. Avant cette découverte, l’association allemande Digitalcourage avait décerné à Doctolib le prix “Big Brother 2021”, pour la gestion trop peu transparente des données médicales des patients.

L'association pointait notamment du doigt la manière dont Doctolib collecte la base de patients des professionnels de santé. Connaissant désormais les pratiques de la plateforme, on peut naturellement se demander comment sont utilisées ces données.