L’une des licornes les plus médiatiques de la French Tech, Doctolib, vient d’être prise la main dans le sac : en Allemagne, la start-up a utilisé deux cookies publicitaires, qui lui ont permis de transmettre des données personnelles aux géants de la publicité en ligne Outbrain et Facebook. Si Doctolib assure qu’aucune donnée médicale n’était concernée, si Facebook garantit que ses algorithmes censurent toute donnée médicale, la start-up se retrouve sous le feu des critiques.
Doctolib traverse une période paradoxale. Deux ans après être devenue une licorne, suite à une nouvelle levée de fonds, l’une des start-up les plus médiatiques de la French Tech a vécu une période très contrastée depuis début 2020.
Quand le Covid-19 booste l’utilisation (et la rentabilité) de Doctolib
D’un coté, la pandémie de Covid-19 a mis en avant la santé en ligne, les visio-consultations et toutes les techniques évitant de se déplacer chez un professionnel de santé. Et, en la matière, Doctolib proposait des technologies parmi les plus matures disponibles, en plus d’être déjà massivement connue par les usagers. La plateforme a donc connu une explosion de son utilisation, et s’inscrit clairement du coté des vainqueurs de la crise sanitaire.
Mais, dans le même temps, cette notoriété exponentielle a également démultiplié le retentissement médiatiques des accrocs à cette réussite. Voici un peu plus d’un an, le vol de données personnelles de plus de 6 000 rendez-vous avait mis en lumière certains manquements de la jeune pousse. Nom, prénom, sexe et âge des utilisateurs avaient pu être récupérés par les pirates.
Doctolib a transmis des données personnelles sensibles à Facebook et Outbrain
Pour autant, cette affaire n’est pas de la même nature que le scandale qui agite actuellement Doctolib pour son traitement des cookies en Allemagne. Car, cette fois, Doctolib n’est pas victime, mais acteur majeur de ce partage de données.
En effet, le média allemand Mobilsicher a révélé que la jeune pousse a utilisé, pendant plusieurs mois, deux cookies publicitaires, qui lui ont permis de transmettre des données de recherche de ses utilisateurs allemands à deux géants de la publicité en ligne, en l’occurrence Outbrain et Facebook.
Et les données collectées étaient, pour le coup, autrement plus sensibles que celles du vol de 2020… Doctolib transmettait un pack incluant l’adresse IP de l’appareil utilisé pour la recherche, associé avec la spécialité de médecine, le traitement et le secteur (public ou privé) choisi par l’utilisateur. De quoi cibler de la publicité en fonction d’affections supposées ou des goûts médicaux des utilisateurs.
Une ligne de défense plus que fragile
Au pied du mur, Doctolib n’a pas nié les faits. Mais la jeune pousse a tenté d’un minimiser l’impact. Elle a affirmé que ces deux cookies visaient à « mesurer le succès de ses campagnes de communication destinées à faire connaître ses services auprès du grand public ».
Elle complète sa défense en affirmant qu’elle n’a jamais collecté de données de santé et n’avoir « jamais transmis de données médicales à un acteur tiers, que ce soit en France ou en Allemagne ». Certes, d’un strict point de vue factuel, les données transmises n’étaient pas des données médicales, puisqu’elle n’associait pas, par exemple, une personne à une maladie.
Respecter strictement les lois (en l’occurrence le RGPD), est-ce suffisant pour être juste moralement ?
Mais une adresse IP ainsi que le type de médecin recherché peut donner une idée assez nette des questionnements, voire des affections d’une personne. Par exemple, des rendez-vous répété chez un spécialiste d’une certaine maladie peut laisser supposer que le patient en souffre…
Doctolib a également affirmé qu’elle avait scrupuleusement respecté le RGPD, en demandant l’autorisation à ses utilisateurs allemands de collecter leurs données à des fins de marketing et de publicité. La start-up reconnaît tout de même qu’il « est complexe pour les utilisateurs de comprendre clairement l’impact de leur consentement à un cookie »...
Doctolib, Facebook et Outbrain auraient fait le ménage…
Doctolib a aussi promis qu’elle avait mis fin à toute utilisation de cookies marketing externe sur ses plateformes. Stanislas Niox-Chateau, CEO de la licorne, a affirmé que Facebook n’avait jamais stocké la moindre donnée sensible et qu’il avait demandé à Outbrain d’effacer toutes les informations – et qu’il avait été obéi.
Facebook a également réagi, en transmettant le communiqué suivant à nos collègues de l’Usine Digitale : « Nous n’autorisons pas ceux qui utilisent nos outils Business à partager des données de santé avec nous. Si des entreprises nous communiquent ces données, même par erreur, notre système de filtrage est conçu pour retirer les données de santé potentiellement sensibles qu’il détecte avant que celles-ci ne soient stockées dans nos systèmes publicitaires. Nous travaillons avec Doctolib pour garantir la bonne mise en œuvre de nos outils à l’avenir ».
Pour autant, ces excuses et défenses peinent à dissimuler l’ampleur du scandale, et l’image de marque de Doctolib en sortira forcément écornée.