Catégories
Uncategorized

RGPD avec Docto­lib

J’ai lu des choses pas très roses vis à vis de Docto­lib, sur ce à quoi les prati­ciens solli­ci­tés via Docto­lib peuvent avoir accès. Des méde­cins qui auraient des compor­te­ments ou remarques dépla­cés en connais­sant le nom ou le rôle des autres prati­ciens consul­tés.

Je ne me base pas sur des récits lus sur twit­ter et j’avais une raison person­nelle supplé­men­taire d’en cher­cher plus alors j’ai fait une requête RGPD pour deman­der des infor­ma­tions ainsi que tout ce qu’ils peuvent déte­nir sur moi.

Ce (long) billet tente de résu­mer l’état en cours. Je le mettrai proba­ble­ment à jour si ça avance signi­fi­ca­ti­ve­ment.

Bonjour,  

Confor­mé­ment aux règle­men­ta­tions en vigueur, je souhaite (1) un éclair­cis­se­ment sur l’usage poten­tiel que s’au­to­rise Docto­lib avec mes données, et (2) la commu­ni­ca­tion de l’in­té­gra­lité des données atta­chées à ma personne qui sont trai­tée ou déte­nues par Docto­lib ainsi que de ses filiales ou pres­ta­taires.

1. Éclair­cis­se­ment

Votre poli­tique de protec­tion des données person­nelle indique dans les trai­te­ments « Données appar­te­nant au dossier médi­cal que le Profes­sion­nel de Santé souhaite parta­ger avec l’Uti­li­sa­teur ou un autre Profes­sion­nel de Santé appar­te­nant à l’équipe de soins du patient »

a- Des données person­nelles ou de santé qui me sont ratta­chées peuvent-elles être échan­gées entre deux prati­ciens via Docto­lib ?

Si oui, b- Ces trans­ferts se feront-ils unique­ment avec mon consen­te­ment préa­lable expli­cite ou peuvent-ils se faire sous un autre régime ? lequel ?

c- Serai-je systé­ma­tique­ment averti ? par quels moyens ?

d- Aurai-je via la plate­forme en ligne ou un autre moyen une visi­bi­lité sur les infor­ma­tions me concer­nant qui sont échan­gées et avec qui ?

e- Quelle est l’éven­tuelle procé­dure pour s’y oppo­ser ?

2. Commu­ni­ca­tion

Je vous prie de me commu­niquer sous forme élec­tro­nique et dans les délais légaux l’in­té­gra­lité des données person­nelles qui sont en votre posses­sion ou en celles d’une de vos filiales ou d’un de vos pres­ta­taires. Cela inclut, sans s’y limi­ter, tout histo­rique, tout jour­nal de connexion, ainsi que toute quali­fi­ca­tion dans des caté­go­ries. Cela inclut aussi toute donnée médi­cale me concer­nant.

Les infor­ma­tions me concer­nant sont celles se ratta­chant direc­te­ment ou indi­rec­te­ment à une ou plusieurs des données nomi­na­tives suivantes :

– Nom: « xxxxxxx xxxxxxxx »
– Télé­phone : « xxxxxxxx »
– Numéro de sécu­rité sociale: « xxxxxxxxxx »
– Adresse : « xxxxxxxxxx »

Si vous n’étiez pas en mesure tech­nique­ment ou léga­le­ment de me commu­niquer certaines données deman­dées, je vous prie de me commu­niquer les données restante ainsi que, pour chaque donnée que vous ne me commu­niquez pas, la nature de cette donnée et la raison de la non-commu­ni­ca­tion.

En vous remer­ciant d’avance,

Email de requête initial, 10 septembre 2020

Leur réponse initiale :

Bonjour, 

Nous accu­sons bonne récep­tion de votre email et vous en remer­cions.

1. Sur le partage d’in­for­ma­tions à un autre profes­sion­nel de santé appar­te­nant à l’équipe de soins du patient, le profes­sion­nel de santé n’a pas besoin d’in­for­mer le patient ni de recueillir son consen­te­ment préa­lable car les infor­ma­tions sont répu­tées confiées par le patient à l’en­semble de son équipe de soins.

En revanche,  l’échange d’in­for­ma­tions à un profes­sion­nel de santé ne faisant pas partie de la même équipe de soins requiert le consen­te­ment préa­lable du patient.

Article L1110–4 du Code de la santé publique. : https://www.legi­france.gouv.fr/codes/article_lc/LEGIARTI000036515027/2018–01–19 

Si vous souhai­tez obte­nir plus d’in­for­ma­tions sur les trans­ferts de données réali­sés par votre profes­sion­nel de santé dans ce cadre, nous vous invi­tons à vous rappro­cher de ce dernier.

2. Concer­nant l’ac­cès à vos données person­nelles : 

Afin de préser­ver la sécu­rité de vos données person­nelles, nous favo­ri­sons leur accès direct. Aussi, nous vous invi­tons à vous connec­ter à votre compte Docto­lib. Vous y trou­ve­rez l’en­semble des données pour lesquelles nous sommes respon­sable de trai­te­ment. Ces données seront conser­vées jusqu’à la suppres­sion de votre compte Docto­lib. Veuillez noter que votre prati­cien est suscep­tible de conser­ver ces données plus long­temps dans son propre système infor­ma­tique.

Cordia­le­ment, 
Service juri­dique
Docto­lib

Première réponse de Docto­lib, le 24 septembre 2020

En gros leur réponse c’est « niet ». Niet ils ne me diront rien sur le 1 et rien sur le 2. Ça ne me convainc sur aucun des deux.

Tout d’abord sur le 1 il répondent à côté. Ils ne me disent pas ce qu’ils permettent, et rejettent la requête sur d’autres. Je veux savoir ce qui passe ou pas par eux. Je pres­sens la suite, qu’ils vont jouer sur la notion d’équipe de soin. Je vais donc poser de nouveau la ques­tion plus expli­ci­te­ment :

1.a. Le fait d’avoir pris rendez-vous sur Docto­lib ne suffi­sant pas à répondre à la défi­ni­tion de l’« équipe de soin » au sens de L1110–12, me confir­mez-vous que les diffé­rents méde­cins que je contacte via Docto­lib n’au­ront *pas* accès par défaut à la liste des autres prati­ciens que j’ai rencon­tré ou des autres rendez-vous que je peux avoir pris ?

1.b. Si toute­fois votre inter­pré­ta­tion diffère et que Docto­lib consi­dère tous les prati­ciens ratta­chés à un compte de patient comme formant de fait une équipe de soin tel qu’ex­primé par L1110–12, merci de m’en infor­mer expli­ci­te­ment.

Première partie de la relance suite à la première réponse, 24 septembre 2020

Idem pour l’in­for­ma­tion. Je ne suis pas convaincu par le « circu­lez, rien à voir, allez deman­der ailleurs ». Ce n’est pas mon inter­pré­ta­tion du RGPD.

1.c Votre réponse est aussi incom­plète. Si le méde­cin n’a pas à m’en infor­mer, il doit, ainsi que tous les respon­sables de trai­te­ment, répondre à mes demandes au sens du RGPD. Les deux ne sont pas exclu­sifs et l’ar­ticle L1110–12 ne retire expli­ci­te­ment aucune obli­ga­tion du RGPD hors de la ques­tion des consen­te­ment. J’ai donc au moins droit à ces infor­ma­tions sur demande.

En tant qu’o­pé­ra­teur vous êtes aussi liés par ces mêmes obli­ga­tions. Si un tel trans­fert ou un tel échange passe par Docto­lib, consi­dé­rant qu’il s’agit de données person­nelles au sens du RGPD, quelle est la procé­dure pour obte­nir commu­ni­ca­tion de ces échanges de votre part ?

Si la procé­dure est une requête manuelle et expli­cite à la présente adresse, merci de consi­dé­rer cet email comme une demande expli­cite et me commu­niquer les partages qui ont pu avoir lieu via votre inter­mé­diaire, ou de m’in­for­mer de l’ab­sence de dits partages par votre inter­mé­diaire.

La possi­bi­lité d’avoir l’in­for­ma­tion via une demande aux méde­cins n’est pas exclu­sive de votre obli­ga­tion de répondre vous-même à une telle requête.

Seconde partie de la relance suite à la première réponse, 24 septembre 2020

Sur le 2 j’ai la même impres­sion de « circu­lez il n’y a rien à voir ». Il est évident qu’ils détiennent plus sur moi. Au grand mini­mum je suis dans des caté­go­ri­sa­tions, avec une date d’ins­crip­tion, un grou­pe­ment par cohorte, une date de dernière connexion et certai­ne­ment tout un histo­rique dans le jour­nal de connexions.

Ils ne me donnent pas tout ce qu’ils ont malgré ma demande sur l’in­té­gra­lité. Ça s’ap­pelle un refus impli­cite. Comme j’ai très expli­ci­te­ment nommé les jour­naux de connexion, je ne peux pas croire à une erreur, ce refus est certai­ne­ment volon­taire. Assez mécon­tent de cette tenta­tive de viola­tion de mes droits, je relance donc aussi là dessus.

L’ab­sence d’une simple donnée comme la date d’ins­crip­tion du compte rend évident que le compte en ligne ne présente pas toutes les infor­ma­tions que vous déte­nez. N’avez-vous pas au moins des jour­naux rele­vés de connexion, infor­ma­tions telles que le nombre de recherches ou tenta­tives de prises de rendez-vous, quali­fi­ca­tion dans des caté­go­ries ou cohortes, etc. ?

Je vous confirme donc ma demande de me commu­niquer sous forme élec­tro­nique *l’en­sem­ble* de mes données person­nelles et données ratta­chées, y compris celles mention­nées au para­graphe précé­dent *mais sans s’y limi­ter*.   En vous remer­ciant,

Troi­sième et dernière partie de la relance suite à la première réponse, 24 septembre 2020

Je reçois ce jour (1er octobre) une seconde réponse suite à ma relance.

Ils citent mes ques­tions, les ques­tions (légè­re­ment grisées) sont donc de moi et les réponses d’eux :

1.a. Le fait d’avoir pris rendez-vous sur Docto­lib ne suffi­sant pas à répondre à la défi­ni­tion de l’« équipe de soin » au sens de L1110–12, me confir­mez-vous que les diffé­rents méde­cins que je contacte via Docto­lib n’au­ront pas accès par défaut à la liste des autres prati­ciens que j’ai rencon­tré ou des autres rendez-vous que je peux avoir pris ?

Confor­mé­ment à l’ar­ticle L1110–12 du code de la santé publique : « Pour l’ap­pli­ca­tion du présent titre, l’équipe de soins est un ensemble de profes­sion­nels qui parti­cipent direc­te­ment au profit d’un même patient à la réali­sa­tion d’un acte diagnos­tique, théra­peu­tique, de compen­sa­tion du handi­cap, de soula­ge­ment de la douleur ou de préven­tion de perte d’au­to­no­mie, ou aux actions néces­saires à la coor­di­na­tion de plusieurs de ces actes, et qui : […]  2° Soit se sont vu recon­naître la qualité de membre de l’équipe de soins par le patient qui s’adresse à eux pour la réali­sa­tion des consul­ta­tions et des actes pres­crits par un méde­cin auquel il a confié sa prise en charge« . En prenant rendez-vous sur Docto­lib avec vos profes­sion­nels de santé, vous vous adres­sez à eux pour la réali­sa­tion de consul­ta­tions médi­cales, ces derniers font donc bien partie de votre équipe de soin au sens de la loi.

Première partie de la seconde réponse de Docto­lib, 1er octobre 2020

J’ai initia­le­ment pris ça comme une réponse « ils ont accès à la liste des rendez-vous » mais après discus­sion sur Twit­ter je me rends compte qu’ils évitent encore une fois de répondre expli­ci­te­ment en ce conten­tant de dire que tous les prati­ciens que je consulte font de fait partie de l’équipe de soin.

Le fait de volon­tai­re­ment ne pas répondre à la ques­tion, par deux fois, tout en justi­fiant que ça pour­rait léga­le­ment, me fait dire que « oui », ou qu’ils veulent éviter de dire « non ». Je vous laisse vous faire votre idée.

Pour ma part je serais très étonné que cette inter­pré­ta­tion soit l’es­prit de la loi. Si la notion d’équipe de soin couvre tout le monde, y compris des prati­ciens consul­tés pour des éléments tota­le­ment diffé­rents, la notion d’équipe de soin n’a pas grand sens.

C’est d’au­tant plus vrai que le 2° qu’ils citent inclut « se sont vus recon­naître […] par le patient » et je n’ai rien reconnu du tout.

Toujours est-il que j’ai leur inter­pré­ta­tion. Je n’ai aucune chance de faire chan­ger d’in­ter­pré­ta­tion leur dépar­te­ment juri­dique via retour de mail donc je laisse ce point. Je me contente de leur préci­ser mon inten­tion, pour qu’ils ne puissent plus se récla­mer d’une recon­nais­sance impli­cite ou d’in­ter­pré­ter mon inten­tion :

[…] Il me semble abusif de consi­dé­rer une recon­nais­sance de membre de l’équipe de soin du 2° de façon impli­cite.

Toute­fois, plutôt que de débattre du passé, allons au plus simple : Merci donc de noter que, jusqu’à nouvel ordre, je déclare expli­ci­te­ment que je ne recon­nais PAS une équipe de soin unie dans les diffé­rents prati­ciens que je consulte. Je refuse donc tout partage et toute visi­bi­lité entre prati­ciens qui ne serait pas impo­sée par la loi.

Cette infor­ma­tion vous étant connue à partir de ce jour, merci donc de prendre désor­mais les mesures néces­saires à la protec­tion de mes données person­nelles, et de me confir­mer quand ces actions auront été prises.

Première partie de la relance suite à la seconde réponse de Docto­lib, 1er octobre 2020

On verra s’ils m’in­forment de quoi que ce soit de changé.

1.c […] Si un tel trans­fert ou un tel échange passe par Docto­lib, consi­dé­rant qu’il s’agit de données person­nelles au sens du RGPD, quelle est la procé­dure pour obte­nir commu­ni­ca­tion de ces échanges de votre part ? Si la procé­dure est une requête manuelle et expli­cite à la présente adresse, merci de consi­dé­rer cet email comme une demande expli­cite et me commu­niquer les partages qui ont pu avoir lieu via votre inter­mé­diaire, ou de m’in­for­mer de l’ab­sence de dits partages par votre inter­mé­diaire. La possi­bi­lité d’avoir l’in­for­ma­tion via une demande aux méde­cins n’est pas exclu­sive de votre obli­ga­tion de répondre vous-même à une telle requête.

Docto­lib n’agit qu’en qualité de sous-trai­tant pour le compte des profes­sion­nels de santé, respon­sables de trai­te­ment. Il s’agit d’in­for­ma­tions liées à votre prise en charge par votre profes­sion­nel de santé et il appar­tient donc à ce dernier de vous infor­mer du poten­tiel trans­fert de vos données à d’autres membres de votre équipe de soin. Nous vous invi­tons à vous rappro­cher de votre profes­sion­nel de santé afin d’ob­te­nir l’in­for­ma­tion recher­chée. 

Seconde partie de la seconde réponse de Docto­lib, 1er octobre 2020

Bref, là j’ai un refus expli­cite de me commu­niquer des infor­ma­tions qu’ils peuvent avoir sur moi. Étran­ge­ment (ou pas), cette non commu­ni­ca­tion n’était pas signa­lée dans leur première réponse, bien que je l’ai demandé expli­ci­te­ment dans ma requête. De quoi m’aga­cer.

Toujours est-il que je ne sous­cris pas à leur analyse qu’en tant que sous-trai­tant il n’ont pas à répondre à mes requêtes directes. J’en doute très fort, d’au­tant que j’ai créé un compte direc­te­ment chez eux avant de prendre un rendez-vous chez le méde­cin. La rela­tion que j’ai avec eux est directe.

J’ai acté expli­ci­te­ment leur refus de commu­ni­ca­tion, en leur deman­dant de me préve­nir s’ils chan­geaient d’avis avant la fin du délai légal (parce que bon, un refus expli­cite de commu­ni­ca­tion, je ne vais pas lais­ser passer).

2. […] Je vous confirme donc ma demande de me commu­niquer sous forme élec­tro­nique *l’en­sem­ble* de mes données person­nelles et données ratta­chées, y compris celles mention­nées au para­graphe précé­dent *mais sans s’y limi­ter*.

Pour accé­der aux jour­naux et rele­vés de connexion, merci de bien vouloir nous four­nir tout élément permet­tant de confir­mer votre iden­tité : copie d’une carte d’iden­tité, passe­port, ou tout autre élément prou­vant votre iden­tité. 

Troi­sième et dernière partie de la seconde réponse de Docto­lib, 1er octobre 2020

Ce type de requête contre­dit expli­ci­te­ment les décla­ra­tions de la CNIL :

Exer­cice de mes droits « Infor­ma­tique et Liber­tés » : dois-je four­nir obli­ga­toi­re­ment une copie de ma carte d’iden­tité ?

– En prin­cipe, non !  Pour exer­cer vos droits « Infor­ma­tique et Liber­tés », il vous suffit de « justi­fier de votre iden­tité ».                                   

Comment « justi­fier de votre iden­tité » ?

Par exemple, en :

– Commu­niquant votre numéro de client ou d’abon­ne­ment en plus de votre iden­tité et de votre adresse.

– Exerçant vos droits à partir d’un compte en ligne sur lequel vous vous êtes préa­la­ble­ment authen­ti­fié (iden­ti­fiant et mot de passe).

Posez votre ques­tion, la CNIL vous répond : Exer­cice de mes droits « Infor­ma­tique et Liber­tés » : dois-je four­nir obli­ga­toi­re­ment une copie de ma carte d’iden­tité ?

En dehors de ça ça n’a aucun sens. Mes données sont ratta­chées au compte en ligne créé, à l’email utilisé pour cela, et aux infor­ma­tions que j’y ai rempli. S’ils ont validé mon email, ils n’ont jamais validé mon état civil. Avoir copie de mon passe­port ne leur donne aucune infor­ma­tion fiable leur permet­tant de savoir si ce sont mes données.

Ils ont déjà la preuve que nous échan­geons via l’email utilisé pour enre­gis­trer le compte, qui permet aussi de récu­pé­rer un mot de passe et donc l’ac­cès au compte. Ils ont aussi mon télé­phone s’ils veulent une confir­ma­tion par un second canal. Ils peuvent aussi me deman­der une authen­ti­fi­ca­tion sur mon compte en ligne. Il est hors de ques­tion que leur donne des infor­ma­tions person­nelles en plus (la preuve de mon état civil, dont ils n’ont aucun besoin).

Ils commencent par me dire qu’ils m’ont tout donné alors que ce n’est pas le cas, puis après relance me refusent certaines infor­ma­tions et me demandent des condi­tions pour les autres (que fina­le­ment ils avaient). Ça commence à bien faire !

J’ai donc recon­firmé ma demande et mon refus de leur donner plus d’in­for­ma­tions person­nelles que ce dont ils ont besoin pour l’exé­cu­tion de ma demande. On verra le résul­tat.

1 réponse sur « RGPD avec Docto­lib »

Note : Des praticiens sur twitter s’étonnent de mon résumé là bas, disant qu’ils n’ont pas accès aux rendez-vous des autres. Je n’ai pas de raison de mettre leur parole en doute.

J’ai interprété les contestations de doctolib comme des réponses implicites. Ce n’est peut-être pas le cas mais je ne comprends alors pas les réponses de Doctolib. Je vous plusieurs possibilités :

– il y a des praticiens qui ont cet historique et pas d’autres (pas que ceux d’un même cabinet)
– ou ils se réservent la possibilité de le faire à l’avenir
– ou ils le faisaient par le passé
– ou ils aiment contredire les argumentations pour le plaisir de répondre et évitent par erreur de répondre à la question posée alors que ça éteindrait toute discussion.

La dernière éventualité est tout à fait possible mais ça ne m’a pas paru la plus probable jusqu’à présent (parce que bon, et eux et moi avons autre chose à faire, et que ce serait vraiment mal tourné de leur part)

L’absence de réponse claire à des questions explicites est dans tous les cas en soi un problème. C’est un département juridique, à priori ils savent faire, je considère donc que c’est à priori volontaire.

voir https://twitter.com/jeremie_val/status/1311773047221899278 par exemple

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *