...

Mi-juin, l'Autorité de protection des données (APD) a jeté dans la mare un pavé tellement gros que peu de poissons survivront à l'impact. La mare, ici, c'est le petit monde de la prise de rendez-vous médical en ligne. Les poissons, ce sont les sites internet qui référencent les médecins. Dans sa décision du 14 juin 2023, l'APD épingle l'une d'elles, sans la nommer, pour un comportement en contradiction sérieuse avec la législation sur la protection des données personnelles. Il est de notoriété publique qu'il s'agit de DoctorAnytime - son CEO l'a confirmé. Notons qu'une série d'autres plateformes, opérant selon le même fonctionnement, sont également concernées: myconsultation.be, médecinbelgique.com, Wisdoc, Doctena, Helena... Ces sites web permettent à n'importe qui, en quelques clics, de trouver un praticien proche de chez lui. Du côté du professionnel de la santé, la plateforme entend "simplifier son quotidien": contre le versement mensuel d'une somme allant de 69 euros à 89 euros (HTVA), il sera possible, pour le patient, de prendre rendez-vous via le profil du praticien. Pas de problème pour ces médecins qui paient pour être référencés sur le site de DoctorAnytime. La décision de l'APD condamne une autre pratique. Commercialement, que ce soit vis-à-vis des médecins souscripteurs ou vis-à-vis des publicitaires, ces plateformes ont tout intérêt à afficher un important trafic sur leur site. Pour démultiplier le nombre de profils de praticiens qu'elle propose, son référencement et son trafic, la plateforme a généré et indexé les profils de milliers de praticiens qui n'ont pas souscrit à l'abonnement, et qui n'ont jamais consenti à figurer sur la plateforme. On peut donc parler d'une réelle marchandisation de la réputation des professionnels de santé. À titre indicatif, à l'heure d'écrire ces lignes, la plateforme indexe, pour la médecine générale, 325 généralistes qui ont souscrit à ses services, et 15.763 qui n'y recourent pas. Un chiffre interloquant, quand on sait qu'en 2021, l'Inami recensait seulement... 13.952 médecins généralistes prestant effectivement en Belgique[1]. Toujours à titre d'exemple, l'ensemble du comité directeur de l'Absym est concerné. Parfois sans même connaître l'existence de DoctorAnytime, beaucoup de médecins ont donc découvert qu'elle proposait une page avec leur profil avec leur nom, prénom, spécialité, adresse, numéro de téléphone, numéro Inami, statut de conventionnement... À la lecture de toutes les informations données à son propos, une généraliste de la périphérie liégeoise se dit "un peu saisie qu'on trouve tout ça sur elle", et "surprise, parce qu'elle n'a rien consenti". "Ça m'énerve profondément, je n'ai rien demandé", pointe-t-elle. Contactée, la plateforme explique pourquoi elle n'a pas estimé nécessaire de recueillir le consentement de tous ces médecins: "Les informations publiées sur DoctorAnytime sont des informations publiques qui sont visibles sur d'autres sites publics ou qui ont été fournies par le praticien lors de rendez-vous commerciaux", se défend Justin Barthelemy, CEO de DoctorAnytime. Pour autant, il ne s'agissait pas d'un motif valable pour siphonner ces données et les republier sur DoctorAnytime, comme l'explique Chloé Antoine, avocate au barreau de Namur, familière des dossiers concernant le droit à la protection des données personnelles: "Le fait que les données aient été rendues 'publiquement accessibles' n'implique pas que le RGPD cesse de s'appliquer. Le RGPD s'applique en effet dès qu'un traitement de données à caractère personnel a lieu et a donc une portée très large." Pour le CEO de DoctorAnytime, un élément permettait de contourner l'exigence du consentement des médecins: l'intérêt légitime des patients et des médecins. "Nous avons toujours estimé avoir un intérêt légitime à proposer un choix plus large et plus intuitif de professionnels de santé à nos patients sans pour autant pénaliser les praticiens." Du point de vue de la juriste, invoquer l'intérêt légitime n'est pas suffisant dans cette situation: "Bien que le responsable du traitement et des tiers (dans ce cas, les patients et les médecins) puissent avoir un intérêt légitime au traitement des données, encore faut-il que le traitement soit nécessaire aux fins de ces intérêts légitimes et que les intérêts et droits des médecins dont les coordonnées ont été publiées sur le site ne prévalent pas sur les intérêts du responsable du traitement et des tiers", explique Chloé Antoine. "Or, ces médecins ne pouvaient légitimement s'attendre à ce que leurs données à caractère personnel soient publiées sur un site internet à vocation commerciale. L'intérêt légitime n'est donc pas une base légale valide dans ce cas." L'avocate précise encore que, même si l'intérêt légitime avait été une base légale valide, d'autres exigences auraient par ailleurs dû être respectées comme celle d'informer les médecins du traitement de leurs données. Cela n'a manifestement pas été le cas. Au-delà de l'absence de consentement, une série d'autres reproches sont adressés à la plateforme. Notamment la présence de fausses informations. Sur le profil de la généraliste liégeoise contactée, DoctorAnytime précise les types de consultations qu'elle propose, dont l'électrocardiogramme. La docteure pointe l'incohérence: "Les informations ne sont pas correctes, je n'ai pas le certificat qui permet d'interpréter un électrocardiogramme". Certains profils-mêmes sont pointés du doigts par la sphère médicale: ceux de médecins retraités, jamais désindexés, par exemple. Ou encore, au même rang des professionnels de la santé agréés, toute une série de praticiens de médecines non-conventionnelles. DoctorAnytime propose par exemple les profils de plus de 100 hypnothérapeutes, 94 naturopathes, 10 fasciathérapeutes, 2 endermologues... Sébastien Deletaille est le CEO de Rosa, plateforme concurrente qui sort brillamment son épingle du jeu. Sa plateforme n'est pas impactée par la décision de l'APD. En effet, "depuis son lancement, Rosa demande le consentement des soignants pour publier un profil", explique-t-il. Si Rosa ne reprend aucun profil de praticiens de médecines non-conventionnelles, c'est pour deux raisons. "Nous avons fait ce choix parce que nous voulions respecter celui du SPF Santé. C'est son rôle de décider quels métiers sont certifiés et non le nôtre", justifie Sébastien Deletaille. Le CEO de DoctorAnytime précise qu'il ne sait pas encore s'il fera appel ou non, mais assure qu'il se conformera à la décision de l'APD "si elle estime que les intérêts légitimes ne sont pas suffisants pour justifier le traitement des données. Tous les profils de praticiens qui n'ont pas consenti seront supprimés de la plateforme sauf s'ils donnent leur consentement entre-temps". L'APD laisse à DoctorAnytime un mois pour se mettre en conformité avec la législation. Cela implique deux solutions possibles. Soit la plateforme désindexe effectivement tous les profils de praticiens qui n'ont pas consenti. "Toutes plateformes confondues, on parle d'environ 100.000 pages web qui vont être effacées!", précise une source bien informée. Ou alors DoctorAnytime recueille, dans ce même délai d'un mois, chaque consentement actuellement absent. Un travail d'immense envergure...