En Allemagne, Doctolib a transmis des données à Facebook et Outbrain

La plateforme de prise de rendez-vous, recommandée par le gouvernement français, a reconnu utiliser des cookies transmettant notamment les mots-clés recherchés des utilisateurs allemands pour mesurer l’efficacité d’une campagne marketing. Elle assure qu’aucune donnée de santé n’a été concernée.

La société Doctolib, société de droit français, est soumise au RGPD comme toutes entreprises européennes. Elle se doit de respecter le Règlement Européen des utilisateurs dont elle traite les données.

Doctolib nous dit ne pas avoir transmis de données de santé à Facebook et Oubrain. Le paragraphe relevé dans l’article des échos nous dit l’inverse.

« Ces informations, transmises sous forme d’URL, contenaient notamment la retranscription des recherches effectuées par les utilisateurs allemands sur la plateforme. Pouvaient apparaître la spécialité médicale recherchée (neurologue, psychologue, etc.), mais aussi l’adresse IP – le numéro d’identification unique – de l’appareil utilisé. »

On y retrouve les détails suivants : spécialité médicale et adresse IP. Le croisement de ces deux données permet d’en déduire pour une personne une pathologie potentielle en fonction de la spécialité du praticien. (Une adresse IP est une donnée à caractère personne)

La direction de Doctolib nous fait remarquer :´

« Il s’agissait de cookies génériques ne collectant que des informations standards […] et en aucun cas des données de santé », précise-t-elle, les mots-clés recherchés par les utilisateurs n’étant pas considérés légalement comme des données de santé. »

Ce qui est en contradiction avec les informations venues d’Allemagne.  (Cf : premier paragraphe). Contrairement à la communication de Doctolib. Malheureusement Doctolib, semble ne pas avoir bien intégré que la définition d’une donnée de santé est très large et que la réalité du terrain démontre que les données transmises par les cookies sont belles et bien des données sensibles au titre de l’article 9 du RGPD.

Concernant le dépôt de cookies, là encore la plateforme précise dans son communiqué :

«Avoir agi en totale conformité avec le RGPD », puisque l’accord était demandé à l’utilisateur, mais reconnaît qu’il est complexe pour les utilisateurs de comprendre clairement l’impact de leur consentement à un cookie. Pour cette raison, Doctolib « a pris la décision de stopper toute utilisation de cookies marketing externes sur nos services en Allemagne » et précise s’être assuré que les données concernées ont bien été supprimées par Facebook et Outbrain. »

Pourquoi avoir décidé de stopper suite à cette diffusion en Allemagne et ne pas avoir mis de cookie en France ?

Doctolib assure « Nous n’utilisons aucun cookie externe sur note site en Français comme sur nos applications mobiles et n’en utiliserons jamais ».

Sans doute par ce qu’en France les exigences de la CNIL en matière de cookie font que cela serait bel et bien jugé comme non conforme. Sans doute est-il bon de rappeler à Doctolib qu’ en tant qu’Autorité chef de file, suite à des plaintes déposées en Allemagne, c’est la CNIL qui sera chargée d’effectuer les contrôles nécessaires.

Au final Doctolib a décidé de ne plus déposer de cookie en Allemagne, pour nos beaux yeux sans doute ?

« Pour cette raison, Doctolib « a pris la décision de stopper toute utilisation de cookies marketing externes sur nos services en Allemagne » et précise s’être assuré que les données concernées ont bien été supprimées par Facebook et Outbrain. »

Nous rappelons également à Doctolib que c’est au responsable de traitement de prouver que toutes les mesures techniques et organisationnelles ont été mises en œuvre afin de sécuriser et transférer les données. Le simple fait de dire s’être assuré n’est pas en soi une preuve de la réelle destruction des données. Mais plus grave encore, transmettre des données santé ou pas à Facebook n’est pas conforme depuis l’arrêt Shrems 2 du 16 juillet 2020, quand bien même ces données seraient stockées en Europe. La loi FISA américaine permettant aux agences fédérales américaines (donc à l’État américain) de réclamer toutes les données qu’ils veulent et en exigeant de la part des sociétés le silence absolu sur la demande faite.

Nous terminerons en rappelant que les données de prise de RDV de vaccination Covid 19 sont traitées en partie par Doctolib. Je vous laisse évaluer le bien-fondé de passer par une société qui réalise son chiffre d’affaires avec vos données y compris de santé.