L'Autorité de protection des données a sanctionné la plateforme DoctorAnytime pour avoir référencé des milliers de médecins sans leur consentement. D'autres reproches lui sont adressés. La sanction devrait provoquer une petite onde de choc autant chez les médecins que chez les plateformes qui ont adopté ce business-model.
Mi-juin, l'Autorité de protection des données (APD) a jeté dans la mare un pavé tellement gros que peu de poissons survivront à l'impact. La mare, ici, c'est le petit monde de la prise de rendez-vous médical en ligne. Les poissons, ce sont les plateformes (sites internet) qui référencent les médecins. Dans sa décision du 14 juin 2023, l'APD épingle l'une d'elles, sans la nommer, pour un comportement en contradiction sérieuse avec la législation sur la protection des données personnelles. Il est de notoriété publique qu'il s'agit de DoctorAnytime - son CEO l'a confirmé. Notons qu'une série d'autres plateformes, opérant selon le même fonctionnement, sont également concernées : myconsultation.be, médecinbelgique.com, Wisdoc, Doctena, Helena...
Kidnapper pour maximiser le trafic
Le site web permet à n'importe qui, en quelques clics, de trouver un praticien proche de chez lui. Du côté du professionnel de la santé, la plateforme entend " simplifier son quotidien " : contre le versement mensuel d'une somme allant de 69 euros à 89 euros (HTVA), il sera possible, pour le patient, de prendre rendez-vous chez lui via le profil du praticien sur la plateforme, qui lui crée un agenda en ligne. Pas de problème pour les médecins qui souscrivent au service : ils paient pour être référencés sur le site de DoctorAnytime. La décision de l'APD condamne une autre pratique. Commercialement, que ce soit vis-à-vis des médecins souscripteurs ou vis-à-vis des publicitaires, ces plateformes ont tout intérêt à afficher un important trafic sur leur site. On peut donc parler d'une réelle marchandisation de la réputation des professionnels de santé.
Pour démultiplier le nombre de profils de praticiens qu'elle propose, et ainsi maximiser son référencement et, par-là, son trafic, la plateforme a généré et indexé les profils de milliers de praticiens qui n'ont pas souscrit à l'abonnement, et qui n'ont jamais consenti à figurer sur la plateforme. À titre indicatif, à l'heure d'écrire ces lignes, la plateforme indexe, pour la médecine générale, 325 médecins qui ont souscrit à ses services, et 15.763 médecins qui n'y recourent pas. Un chiffre interloquant, quand on sait qu'en 2021, l'Inami recensait seulement... 13.952 médecins généralistes prestant effectivement en Belgique[1]. Toujours à titre d'exemple, l'ensemble du comité directeur de l'Absym est concerné.
Un consentement ? Quel consentement ?
Parfois sans même connaître l'existence de DoctorAnytime, beaucoup de médecins ont donc découvert qu'elle proposait une page avec leur profil avec leur nom, prénom, spécialité, adresse, numéro de téléphone, numéro Inami, statut de conventionnement... À la lecture de toutes les informations données à son propos, une médecin généraliste de la périphérie liégeoise se dit progressivement " un peu saisie qu'on trouve tout ça sur elle ", puis " surprise, parce qu'elle n'a rien consenti ". " Ca m'énerve profondément, alors que je n'ai rien demandé ", explique-t-elle.
Le Règlement général relatif à la protection des données (le fameux RGPD) protège pourtant les médecins, et plus généralement toute personne, contre ce type de pratique. Comme il traite et expose des données personnelles du médecin, DoctorAnytime est tenu de recueillir son consentement aux fins de ce traitement. Contactée, la plateforme explique pourquoi elle n'a pas estimé nécessaire de le faire : " Les informations publiées sur DoctorAnytime sont des informations publiques qui sont visibles sur d'autres sites publics ou qui ont été fournies par le praticien lors de rendez-vous commerciaux ", se défend Justin Barthelemy, CEO de DoctorAnytime.
Si ces informations ne peuvent pas être qualifiées de " données publiques ", il est cependant exact qu'elles figurent, pour la plupart, sur d'autres sites internet : celui de l'Inami, celui de l'Ordre des médecins, les sites particuliers des praticiens et des maisons médicales... Pour autant, il ne s'agissait pas d'un motif valable pour siphonner ces données et les republier sur DoctorAnytime, comme l'explique ici Chloé Antoine, avocate au barreau de Namur, familière des dossiers concernant le droit à la protection des données personnelles : " Le fait que les données aient été rendues 'publiquement accessibles' n'implique pas que le RGPD cesse de s'appliquer. Le RGPD s'applique en effet dès qu'un traitement de données à caractère personnel a lieu (sauf dans certains cas bien particuliers comme dans le cadre d'activités strictement personnelles ou domestiques) et a donc une portée très large. "
L'intérêt légitime ne sauvera pas DoctorAnytime
Pour le CEO de DoctorAnytime, un élément permettait de contourner l'exigence du consentement des médecins : l'intérêt légitime des patients et des médecins. " Nous avons toujours estimé avoir un intérêt légitime à proposer un choix plus large et plus intuitif de professionnels de santé à nos patients sans pour autant pénaliser les praticiens ". Le CEO explique également avoir opéré une balance des intérêts : " Les profils en ligne présentent la possibilité d'être modifiés ou supprimés à tout moment, nous sommes très réactifs pour cela et nous informons directement le praticien lorsque le nécessaire a été fait ".
Du point de vue de la juriste, invoquer l'intérêt légitime n'est pas suffisant dans cette situation : " Bien que le responsable du traitement et des tiers (dans ce cas, les patients et les médecins) puissent avoir un intérêt légitime au traitement des données, encore faut-il que le traitement soit nécessaire aux fins de ces intérêts légitimes et que les intérêts et droits des médecins dont les coordonnées ont été publiées sur le site ne prévalent pas sur les intérêts du responsable du traitement et des tiers ", explique Chloé Antoine. " Cette dernière condition implique d'opérer une balance des intérêts en présence. Dans ce cas, les intérêts des médecins dont les coordonnées ont été publiées semblent l'emporter sur ceux du responsable du traitement et des tiers, comme l'a décidé l'APD. Ces médecins ne pouvaient en effet légitimement s'attendre à ce que leurs données à caractère personnel soient publiées sur un site internet à vocation commerciale. L'intérêt légitime n'est donc pas une base légale valide dans ce cas. " L'avocate précise encore que, même si l'intérêt légitime avait été une base légale valide, d'autres exigences auraient par ailleurs dû être respectées comme celle d'informer les médecins du traitement de leurs données. Cela n'a manifestement pas été le cas.
Fausses informations, médecines non-conventionnelles...
Au-delà de l'absence de consentement, une série d'autres reproches sont adressés à la plateforme. Notamment la présence de fausses informations. Sur le profil de la médecin généraliste liégeoise contactée, DoctorAnytime précise également les types de consultations qu'elle propose : consultation générale, attestation médicale, contraception et MST, électrocardiogramme, prise de sang, renouvellement de traitement et vaccination. Une liste-type, formatée, copiée-collée sur chaque profil de généraliste. Ici aussi, la docteure pointe une incohérence : " Les informations ne sont pas correctes : je n'ai pas le certificat qui permet d'interpréter un électrocardiogramme ".
Non plus par l'APD, mais par d'autres acteurs de la sphère médicale, certains profils-mêmes sont également pointés du doigts : ceux de médecins retraités, jamais désindexés, par exemple. Ou encore, au même rang des professionnels de la santé agréés, toute une série de praticiens de médecines non-conventionnelles. DoctorAnytime propose par exemple les profils de plus de 100 hypnothérapeutes, 94 naturopathes, 10 fasciathérapeutes, 2 endermologues... Sébastien Deletaille est le CEO de Rosa, plateforme concurrente qui sort brillamment son épingle du jeu. Sa plateforme n'est pas impactée par la décision de l'APD. En effet, " depuis son lancement, Rosa demande le consentement des soignants pour publier un profil ", explique-t-il. Si Rosa ne reprend aucun profil de praticiens de médecines non-conventionnelles, c'est pour deux raisons. " Nous avons fait ce choix parce que nous voulions respecter celui du SPF Santé. C'est son rôle de décider quels métiers sont certifiés et non le nôtre ", justifie Sébastien Deletaille. " Pour s'inscrire, un utilisateur doit remettre son numéro Inami. C'est la première étape de la vérification d'identité qui est faite sur Rosa. Nous voulons nous assurer que personne n'usurpe l'identité d'un soignant. En France, Doctolib a appliqué la même décision de déréférencer les métiers non-certifiés. "
SUITE DANS NOTRE EDITION PAPIER DU 4 JUILLET.
[1]https://www.inami.fgov.be/SiteCollectionDocuments/statistique_2021_ss_proff_tableau3.pdf
Mi-juin, l'Autorité de protection des données (APD) a jeté dans la mare un pavé tellement gros que peu de poissons survivront à l'impact. La mare, ici, c'est le petit monde de la prise de rendez-vous médical en ligne. Les poissons, ce sont les plateformes (sites internet) qui référencent les médecins. Dans sa décision du 14 juin 2023, l'APD épingle l'une d'elles, sans la nommer, pour un comportement en contradiction sérieuse avec la législation sur la protection des données personnelles. Il est de notoriété publique qu'il s'agit de DoctorAnytime - son CEO l'a confirmé. Notons qu'une série d'autres plateformes, opérant selon le même fonctionnement, sont également concernées : myconsultation.be, médecinbelgique.com, Wisdoc, Doctena, Helena...Le site web permet à n'importe qui, en quelques clics, de trouver un praticien proche de chez lui. Du côté du professionnel de la santé, la plateforme entend " simplifier son quotidien " : contre le versement mensuel d'une somme allant de 69 euros à 89 euros (HTVA), il sera possible, pour le patient, de prendre rendez-vous chez lui via le profil du praticien sur la plateforme, qui lui crée un agenda en ligne. Pas de problème pour les médecins qui souscrivent au service : ils paient pour être référencés sur le site de DoctorAnytime. La décision de l'APD condamne une autre pratique. Commercialement, que ce soit vis-à-vis des médecins souscripteurs ou vis-à-vis des publicitaires, ces plateformes ont tout intérêt à afficher un important trafic sur leur site. On peut donc parler d'une réelle marchandisation de la réputation des professionnels de santé.Pour démultiplier le nombre de profils de praticiens qu'elle propose, et ainsi maximiser son référencement et, par-là, son trafic, la plateforme a généré et indexé les profils de milliers de praticiens qui n'ont pas souscrit à l'abonnement, et qui n'ont jamais consenti à figurer sur la plateforme. À titre indicatif, à l'heure d'écrire ces lignes, la plateforme indexe, pour la médecine générale, 325 médecins qui ont souscrit à ses services, et 15.763 médecins qui n'y recourent pas. Un chiffre interloquant, quand on sait qu'en 2021, l'Inami recensait seulement... 13.952 médecins généralistes prestant effectivement en Belgique[1]. Toujours à titre d'exemple, l'ensemble du comité directeur de l'Absym est concerné.Parfois sans même connaître l'existence de DoctorAnytime, beaucoup de médecins ont donc découvert qu'elle proposait une page avec leur profil avec leur nom, prénom, spécialité, adresse, numéro de téléphone, numéro Inami, statut de conventionnement... À la lecture de toutes les informations données à son propos, une médecin généraliste de la périphérie liégeoise se dit progressivement " un peu saisie qu'on trouve tout ça sur elle ", puis " surprise, parce qu'elle n'a rien consenti ". " Ca m'énerve profondément, alors que je n'ai rien demandé ", explique-t-elle.Le Règlement général relatif à la protection des données (le fameux RGPD) protège pourtant les médecins, et plus généralement toute personne, contre ce type de pratique. Comme il traite et expose des données personnelles du médecin, DoctorAnytime est tenu de recueillir son consentement aux fins de ce traitement. Contactée, la plateforme explique pourquoi elle n'a pas estimé nécessaire de le faire : " Les informations publiées sur DoctorAnytime sont des informations publiques qui sont visibles sur d'autres sites publics ou qui ont été fournies par le praticien lors de rendez-vous commerciaux ", se défend Justin Barthelemy, CEO de DoctorAnytime.Si ces informations ne peuvent pas être qualifiées de " données publiques ", il est cependant exact qu'elles figurent, pour la plupart, sur d'autres sites internet : celui de l'Inami, celui de l'Ordre des médecins, les sites particuliers des praticiens et des maisons médicales... Pour autant, il ne s'agissait pas d'un motif valable pour siphonner ces données et les republier sur DoctorAnytime, comme l'explique ici Chloé Antoine, avocate au barreau de Namur, familière des dossiers concernant le droit à la protection des données personnelles : " Le fait que les données aient été rendues 'publiquement accessibles' n'implique pas que le RGPD cesse de s'appliquer. Le RGPD s'applique en effet dès qu'un traitement de données à caractère personnel a lieu (sauf dans certains cas bien particuliers comme dans le cadre d'activités strictement personnelles ou domestiques) et a donc une portée très large. "Pour le CEO de DoctorAnytime, un élément permettait de contourner l'exigence du consentement des médecins : l'intérêt légitime des patients et des médecins. " Nous avons toujours estimé avoir un intérêt légitime à proposer un choix plus large et plus intuitif de professionnels de santé à nos patients sans pour autant pénaliser les praticiens ". Le CEO explique également avoir opéré une balance des intérêts : " Les profils en ligne présentent la possibilité d'être modifiés ou supprimés à tout moment, nous sommes très réactifs pour cela et nous informons directement le praticien lorsque le nécessaire a été fait ".Du point de vue de la juriste, invoquer l'intérêt légitime n'est pas suffisant dans cette situation : " Bien que le responsable du traitement et des tiers (dans ce cas, les patients et les médecins) puissent avoir un intérêt légitime au traitement des données, encore faut-il que le traitement soit nécessaire aux fins de ces intérêts légitimes et que les intérêts et droits des médecins dont les coordonnées ont été publiées sur le site ne prévalent pas sur les intérêts du responsable du traitement et des tiers ", explique Chloé Antoine. " Cette dernière condition implique d'opérer une balance des intérêts en présence. Dans ce cas, les intérêts des médecins dont les coordonnées ont été publiées semblent l'emporter sur ceux du responsable du traitement et des tiers, comme l'a décidé l'APD. Ces médecins ne pouvaient en effet légitimement s'attendre à ce que leurs données à caractère personnel soient publiées sur un site internet à vocation commerciale. L'intérêt légitime n'est donc pas une base légale valide dans ce cas. " L'avocate précise encore que, même si l'intérêt légitime avait été une base légale valide, d'autres exigences auraient par ailleurs dû être respectées comme celle d'informer les médecins du traitement de leurs données. Cela n'a manifestement pas été le cas.Au-delà de l'absence de consentement, une série d'autres reproches sont adressés à la plateforme. Notamment la présence de fausses informations. Sur le profil de la médecin généraliste liégeoise contactée, DoctorAnytime précise également les types de consultations qu'elle propose : consultation générale, attestation médicale, contraception et MST, électrocardiogramme, prise de sang, renouvellement de traitement et vaccination. Une liste-type, formatée, copiée-collée sur chaque profil de généraliste. Ici aussi, la docteure pointe une incohérence : " Les informations ne sont pas correctes : je n'ai pas le certificat qui permet d'interpréter un électrocardiogramme ".Non plus par l'APD, mais par d'autres acteurs de la sphère médicale, certains profils-mêmes sont également pointés du doigts : ceux de médecins retraités, jamais désindexés, par exemple. Ou encore, au même rang des professionnels de la santé agréés, toute une série de praticiens de médecines non-conventionnelles. DoctorAnytime propose par exemple les profils de plus de 100 hypnothérapeutes, 94 naturopathes, 10 fasciathérapeutes, 2 endermologues... Sébastien Deletaille est le CEO de Rosa, plateforme concurrente qui sort brillamment son épingle du jeu. Sa plateforme n'est pas impactée par la décision de l'APD. En effet, " depuis son lancement, Rosa demande le consentement des soignants pour publier un profil ", explique-t-il. Si Rosa ne reprend aucun profil de praticiens de médecines non-conventionnelles, c'est pour deux raisons. " Nous avons fait ce choix parce que nous voulions respecter celui du SPF Santé. C'est son rôle de décider quels métiers sont certifiés et non le nôtre ", justifie Sébastien Deletaille. " Pour s'inscrire, un utilisateur doit remettre son numéro Inami. C'est la première étape de la vérification d'identité qui est faite sur Rosa. Nous voulons nous assurer que personne n'usurpe l'identité d'un soignant. En France, Doctolib a appliqué la même décision de déréférencer les métiers non-certifiés. "[1]https://www.inami.fgov.be/SiteCollectionDocuments/statistique_2021_ss_proff_tableau3.pdf
