Doctolib a communiqué les recherches de ses usagers allemands à Facebook et Outbrain

Doctolib gère la réservation de 90 % des centres de vaccination contre le Covid-19.

La start-up française de réservation de rendez-vous médicaux Doctolib, incontournable pour obtenir un créneau de vaccination, traverse une séquence délicate. D’après une enquête parue le 21 juin dans le média allemand consacré à la vie privée numérique Mobilsicher, Doctolib a transmis les recherches de ses utilisateurs allemands aux régies publicitaires de Facebook et d’Outbrain, un service de distribution ciblée d’articles et contenus publicitaires.

Des informations sensibles y figuraient : la spécialité en médecine recherchée et, quand l’utilisateur précisait ces critères, le traitement recherché et le secteur demandé (public ou privé). Mobilsicher constate que Doctolib partageait également le numéro d’identifiant, ou « adresse IP », de l’appareil utilisé par chaque usager. « Les informations transmises pouvaient donc difficilement être considérées comme anonymes », note le média allemand.

Décryptage : Sécurité des données, position hégémonique… Faut-il avoir peur de Doctolib ?

Le patron de Doctolib, Stanislas Niox-Chateau, a confirmé au Monde la présence de ces petits mouchards publicitaires, ou « cookies », sur la version allemande de son service. Selon lui, ils ont été supprimés immédiatement après l’enquête de Mobilsicher. « Nous avons également demandé à Outbrain d’effacer toutes les informations que nous leur avions fait remonter, ce qui a été fait, assure le patron de Doctolib. Et Facebook n’a jamais stocké les données sensibles. » Le réseau social a en effet indiqué à Mobilsicher qu’un filtrage des données sensibles a prévenu leur mémorisation. Contacté à ce sujet, Outbrain n’a pas immédiatement répondu aux requêtes du Monde.

Une campagne de communication maison

Stanislas Niox-Chateau minimise l’importance de ces cookies. Selon lui, « ils n’étaient pas présents sur la version française de Doctolib. Leur rôle était de suivre les campagnes marketing destinées à promouvoir nos propres services sur Facebook et Outbrain. Ces publicités n’étaient pas ciblées en fonction des pathologies de nos clients. Les informations remontées à Facebook et Outbrain n’étaient pas accessibles à d’autres entreprises souhaitant faire de la publicité médicale, elles ne servaient qu’à nous ».

Selon Doctolib, les informations sensibles transférées n’étaient donc pas utilisées. Stanislas Niox-Chateau se défend : « Les cookies que nous avons utilisés étaient parfaitement standards, de la même nature que ceux qui sont utilisés partout. Nos équipes ne m’ont pas dit qu’elles auraient pu en supprimer les informations sensibles. » Pourtant, selon nos informations, le tri des données avant l’envoi est possible, et même recommandé.

Rétrospectivement, le patron de Doctolib admet que l’emploi de cookies publicitaires est malvenu dans le domaine de la santé. Tout en concédant par voie de communiqué de presse « qu’il est complexe pour les utilisateurs de comprendre clairement l’impact du consentement à un cookie », il souligne que les usagers allemands concernés avaient cliqué sur un bouton autorisant le partage de données.

Enquête : Les ambitions dévorantes de Doctolib