Doctolib, la recherche et le secret professionnel : la promesse, la clause, et l'angle mort de la santé mentale
Doctolib réutilise par défaut les données de santé pour la recherche IA. Ce que l'e-mail promet au patient, ce que le contrat promet au praticien, et l'angle mort de la santé mentale.
Source analysée
Portail de recherche Doctolib
L’e-mail du samedi
Le samedi 11 juillet 2026, en début d’après-midi, Doctolib a envoyé à ses utilisateurs un e-mail intitulé « Doctolib s’engage dans la recherche pour améliorer la santé »1. Il annonce un laboratoire de recherche2, un premier projet mené à partir d’août 2026 avec l’Inria, l’Inserm et l’Université Paris Cité, et un cadre : la méthodologie de référence MR-004 de la CNIL. Puis vient une phrase, qui n’est jamais présentée comme importante :
« Ce projet de recherche s’appuiera sur vos données démographiques et de santé nécessaires aux fins de recherche scientifique, ainsi que celles de vos proches rattachés à votre compte Doctolib, qu’elles soient renseignées par vous-mêmes ou par vos soignants. »
Le futur de l’indicatif fait tout le travail. Il ne demande rien ; il informe d’un fait à venir. Le consentement n’est pas sollicité : sans opposition de sa part, chaque utilisateur est inclus par défaut. Refuser demande une démarche active — remplir un formulaire d’opposition pour soi-même, puis un formulaire distinct pour chacun des proches rattachés à son compte.
Si vous êtes psychologue ou psychiatre, cet e-mail vous concerne deux fois. Comme citoyen, parce que vos données de patient sont dans le corpus. Et comme praticien, parce que les données que vous saisissez dans votre logiciel — vos notes, vos comptes rendus, parfois vos dictées — en sont l’une des sources. Cet article ne dira ni « Doctolib pille vos données » (c’est faux, et le penser fait perdre du temps), ni « tout est conforme, circulez » (c’est vrai, et c’est insuffisant). Il propose de regarder précisément ce qui se joue, à partir des documents eux-mêmes.
Cet article s’inscrit dans notre dossier éthique — voir Cinq principes pour une éthique de l’IA en santé mentale et notre tribune sur le guide HAS-CNIL et son angle mort psychothérapie.
Pourquoi ce sujet nous concerne
Ce que nous cherchons ici, article après article, c’est comment intégrer l’IA à la pratique de la santé mentale sans rien céder sur l’éthique, la sécurité des patients et la relation thérapeutique. La façon dont un acteur dominant traite les données de nos patients, et l’effet de ses choix sur notre clinique, sont donc pleinement notre sujet.
Parmi les réticences que patients et praticiens expriment devant l’arrivée de l’IA en santé, la confidentialité des données revient de façon constante. Nos patients nous en parlent ; nous-mêmes hésitons devant les outils de prise de notes « augmentés » que nos éditeurs nous proposent. Cette inquiétude est fondée — mais elle est souvent mal dirigée, et c’est le premier point à remettre d’aplomb.
Ce n’est pas « l’IA » qui réutilise des données de santé. Un modèle statistique ne veut rien ; il ne décide de rien. Ce sont des structures humaines qui décident : une entreprise, un responsable de traitement, un conseil d’administration fixent des finalités, signent des contrats, cochent ou non des cases. Parler de « l’algorithme » qui s’empare de nos données, c’est déjà se tromper d’adversaire — et dédouaner ceux qui décident. L’intérêt du cas Doctolib est précisément là : il n’y a rien d’abstrait. Il y a un e-mail daté, un contrat en ligne, une case dans un centre de confidentialité, et des signataires.
Et Doctolib donne le ton. Première plateforme française de prise de rendez-vous médical, éditeur d’un logiciel de cabinet largement diffusé, l’entreprise pèse assez lourd pour que ce qu’elle normalise tende à devenir le standard de fait du secteur. Quand un acteur de cette taille choisit un mode de réutilisation des données, il ne fait pas qu’un choix d’entreprise : il déplace la ligne de ce qui paraît acceptable pour tous les autres.
Reste une raison, plus spécifique, qui fait de ce sujet le nôtre. Les cadres pensés pour la médecine « générale » ignorent presque toujours ce qui fait la particularité de la santé mentale : une pratique où la donnée n’est pas une mesure, mais une parole. Le guide publié en 2026 par la HAS et la CNIL pour accompagner le bon usage de l’IA en contexte de soins l’illustre bien3 : organisé en fiches par étape de déploiement, complété de deux fiches génériques sur la gouvernance et l’IA générative, il ne consacre — à notre lecture — aucun développement spécifique aux enjeux propres à la psychothérapie : ni au verbatim de séance, ni aux tiers dont le patient parle, ni à la ré-identification par le contenu d’un récit. Ce relatif silence n’est pas une faute ; c’est un angle mort. Et un angle mort, c’est exactement ce qu’un praticien de la parole est le mieux placé pour nommer.
Ce qui est parfaitement régulier
Il faut le dire nettement, sous peine de ne pas être crédible : le dispositif de Doctolib coche les cases du droit.
La MR-004 est une méthodologie de référence de la CNIL4 qui encadre la réutilisation de données de santé déjà collectées, à des fins de recherche « n’impliquant pas la personne humaine ». Elle n’exige pas le consentement. Elle exige un intérêt public, la minimisation des données, une analyse d’impact, un délégué à la protection des données, une information des personnes et un droit d’opposition. Mieux : elle prévoit explicitement qu’en cas de réutilisation, l’information individuelle puisse être remplacée par le renvoi à « un dispositif spécifique d’information » — par exemple un site présentant chaque projet. Le « portail de recherche » de Doctolib est très exactement ce dispositif. Le montage ne contourne pas la règle ; il l’applique.
Et cette règle a de bonnes raisons d’exister. Exiger un consentement explicite pour toute réutilisation de données de santé condamnerait l’épidémiologie, la pharmacovigilance, la recherche sur les parcours de soins — celle qui documente, entre autres, les inégalités d’accès. Le consentement individuel systématique produit des corpus biaisés : y consentent surtout ceux qui vont bien, qui lisent leurs courriers, qui maîtrisent la langue. L’opt-out — l’inclusion par défaut, sauf refus exprès — n’est pas une ruse ; c’est un arbitrage collectif entre l’autonomie de chacun et la connaissance de tous. On peut le trouver discutable ; on ne peut pas le traiter comme un scandale.
Il faut créditer, de même, ce qui est solide côté sécurité. Les données sont hébergées chez des prestataires certifiés « Hébergeur de Données de Santé », chiffrées au repos selon un modèle à double couche (AES-256), les clés étant conservées en France dans un module matériel dédié. Et le contrat professionnel reconnaît explicitement que ces données sont « strictement couvertes par le secret professionnel (article 226-13 du Code pénal) ». Doctolib ne feint pas d’ignorer le secret : il le nomme.
Alors, si tout est régulier, où est le problème ? Il n’est pas dans une illégalité. Il est dans l’écart entre deux documents que personne ne lit ensemble.
Ce que votre contrat vous promet
La pièce que le traitement médiatique a laissée de côté — les articles parus depuis le 8 juillet se limitent, pour l’essentiel, au mode d’emploi « comment refuser » — n’est pas l’e-mail adressé aux patients. C’est le contrat que signe le praticien : l’accord de protection des données, dans sa « Version Juillet 2026 »5. Son article 4.3 organise la réutilisation des données. En voici, pour la partie qui inclut les données de santé, les passages décisifs — je n’abrège que la longue énumération des catégories de données, sans en modifier le sens :
(ii) Réutilisation de données incluant des données de santé des Patients — Sous réserve de votre autorisation spécifique, Doctolib peut réutiliser les catégories de données suivantes : […] vos enregistrements vocaux, notamment la dictée vocale ; les Données à caractère personnel des Patients […], incluant notamment les Données de santé, les données de Messagerie […]. Aucune donnée directement identifiante ne sera réutilisée.
La finalité de cette réutilisation est de réaliser des recherches et des études ; améliorer et développer les Services ; anonymiser les Données à caractère personnel listées. […]
Aucune autorisation n’est présumée par défaut. Vous êtes libre d’accepter ou de refuser, et de modifier votre choix à tout moment […].
Les Données de santé des Patients ne seront traitées qu’après la collecte du consentement des Patients concernés ou l’obtention des autorisations administratives requises. Les Patients conservent la décision finale sur l’usage de leurs Données de santé : seuls ceux ayant accepté, via leur compte Doctolib, de participer à la recherche […] seront concernés.
Prenez le temps de relire ce paragraphe, car il tient ensemble deux promesses difficiles à concilier — et c’est là que tout se joue.
D’un côté, deux phrases très rassurantes. « Aucune autorisation n’est présumée par défaut » : ici, pour les données de santé, c’est l’opt-in — l’accord exprès, jamais présumé —, et c’est un bon point qu’il faut reconnaître. Et surtout : « seuls ceux ayant accepté […] seront concernés ». Un praticien qui lit cela en signant comprend, légitimement, que ses patients devront avoir dit oui.
De l’autre côté, une conjonction, deux lignes plus haut : les données de santé seront traitées « après la collecte du consentement des Patients ou l’obtention des autorisations administratives requises ». Ce petit « ou » ouvre une seconde voie, qui ne passe pas par le consentement des patients. Et cette seconde voie a un nom : l’engagement de conformité à la MR-004 est, précisément, l’« autorisation administrative » en question. C’est elle que le programme de juillet emprunte.
Le contrat ne se contredit pas : il articule deux voies licites, et il les a manifestement rédigées ainsi à dessein. Mais il les présente côte à côte sans dire comment elles se concilient. La phrase la plus rassurante — « seuls ceux ayant accepté seront concernés » — est posée comme un principe général, juste après celle qui ménage un traitement sans consentement ; et le texte ne précise pas si cette garantie couvre aussi la voie des autorisations administratives. Le point important n’est donc pas de savoir si Doctolib respecte son contrat : rien n’indique qu’il le viole. Il est ailleurs : le praticien pouvait-il comprendre, en signant, que la promesse de consentement était conditionnelle ? Que la phrase rassurante pouvait ne valoir que pour l’une des deux branches, et que c’est l’autre — silencieuse sur ce qu’elle implique — qui serait activée ?
Une précision, avant d’aller plus loin, car elle change votre position dans le dispositif : cette seconde voie dispense du consentement du patient — pas de votre autorisation. La FAQ du portail, qui s’adresse au patient, le dit sans ambiguïté : « C’est uniquement lorsque ces deux conditions sont réunies — absence d’opposition de votre part et autorisation de votre praticien — que les données issues du logiciel professionnel peuvent être traitées dans le cadre de la recherche. » Pour les données saisies dans votre logiciel, le réglage de l’article 4.3 (ii) reste donc une porte : tant que vous ne l’avez pas ouverte, elles ne rejoignent pas le corpus. Vous n’êtes pas spectateur du dispositif ; vous en êtes l’un des deux verrous.
C’est un problème de loyauté de l’information, pas de légalité. Et il a un pendant du côté patient. Au patient, on a écrit un e-mail : réutilisation par défaut, opposition à sa charge. Au praticien, on a fait signer une promesse : « seuls ceux ayant accepté seront concernés ». Pour le même patient, ces deux messages dessinent deux régimes différents — et l’un des deux destinataires a reçu une information qui ne le prépare pas à ce qui va se passer.
Un dernier contraste achève de situer l’enjeu, et il est écrit noir sur blanc dans la politique de confidentialité destinée aux patients6. Pour les données de santé, la base légale annoncée est « le consentement explicite donné par l’utilisateur » — assortie aussitôt d’une exception : « sauf si le traitement est fondé sur l’intérêt public (recherche et études) ». Autrement dit, Doctolib requiert votre consentement pour améliorer ses produits à partir de vos données de santé, mais s’en remet à l’opt-out dès lors que l’usage s’appelle recherche. Le niveau d’exigence baisse précisément là où la finalité est présentée comme la plus noble — et où les données mobilisées, verbatims et dictées compris, sont parmi les plus intimes. Ce n’est pas illégal ; la MR-004 autorise ce second régime. Mais c’est un choix, et il mérite d’être vu comme tel.
Récapitulons qui tient quoi, car cette architecture à trois acteurs porte tout ce qui suit :
| Acteur | Ce qu’il tient | Régime |
|---|---|---|
| Le patient | Un droit d’opposition, à exercer pour lui-même puis pour chaque proche rattaché | Opt-out : inclus par défaut, sauf refus exprès |
| Le praticien | L’autorisation de réutiliser les données de son logiciel (article 4.3 (ii)) | Opt-in : jamais présumée, révocable à tout moment |
| Doctolib | Les finalités, le calendrier et le périmètre des projets | Engagement de conformité MR-004 — la voie qui dispense du consentement explicite |
Ce que la santé mentale change
Jusqu’ici, l’analyse vaudrait pour un cabinet de radiologie. Elle change de nature dès qu’on parle de la parole.
Premier point, technique mais décisif : « non directement identifiantes » ne veut pas dire « anonymes ». L’e-mail dit que « les données utilisées ne permettent pas de vous identifier directement » ; le portail, plus rigoureux, parle de données « pseudonymisées ». Ce n’est pas la même chose. Une donnée pseudonymisée reste une donnée personnelle — c’est d’ailleurs pourquoi un droit d’opposition subsiste. La CNIL et le Comité européen de la protection des données le rappellent de manière constante — ce dernier y a consacré des lignes directrices dédiées en 20257 : pseudonymiser n’est pas anonymiser. Or les données concernées incluent, le contrat le dit, la dictée vocale et la messagerie. En imagerie, la donnée est un signal. En santé mentale, la donnée est un récit — avec ses dates, ses lieux, ses personnes, ses événements. La ré-identification par le contenu d’un tel récit n’est pas une hypothèse d’école.
Deuxième point, structurel et rarement soulevé : dans une séance, le patient parle des autres. De son conjoint, de son enfant, de son parent, d’un collègue. Ces personnes ne sont ni utilisatrices de Doctolib, ni destinataires de l’e-mail, ni en mesure d’exercer un droit d’opposition qu’elles ignorent posséder. Le dispositif d’information par site web, ingénieux pour la personne concernée, ne dit rien du tiers décrit mais jamais prévenu. On objectera que le RGPD dispense d’informer les personnes lorsque cet effort serait disproportionné, notamment en recherche (article 14, paragraphe 5, point b). L’exemption existe. Mais s’applique-t-elle vraiment au tiers dont un verbatim de séance restitue la vie ? La question mérite mieux qu’un renvoi automatique à une exception.
Troisième point : l’e-mail annonce « notre premier projet ». Le portail, lui, en présentait deux au moment où nous l’avons consulté, mi-juillet. Le second — « Estimation du niveau de confiance des modèles d’intelligence artificielle » — porte sur des modèles génératifs. Sa fiche mentionne comme source « le logiciel praticien (y compris l’assistant de consultation) » — l’outil dont la fonction est de transcrire la consultation — et range, parmi les personnes concernées, « les proches mineurs » des utilisateurs. Ce projet, au périmètre plus large que le premier, est publié sur le portail mais n’est pas mentionné dans l’e-mail. L’information individuelle, obligation centrale de la MR-004, a donc porté sur le projet le plus rassurant.
Enfin, le point qui nous concerne le plus directement :
Le contrat ne fait pas seulement du praticien une source de données ; il en fait le débiteur de l’information.
Son article 4.1 lui assigne, comme responsable de traitement, la charge d’« informer les Personnes concernées notamment les confrères et les Patients […] en mettant à disposition […] une fiche d’information ». C’est une obligation contractuelle, qui s’adosse à son statut de responsable de traitement au sens du RGPD. Autrement dit : le portail dit au patient que son praticien doit avoir donné son autorisation ; le contrat dit au praticien qu’il lui appartient d’informer ses patients. Chacun renvoie à l’autre, et l’information réelle, en séance, n’est outillée nulle part.
Le déplacement
Prenons de la hauteur. Ce qui se joue ici n’est pas une trahison ; c’est un déplacement, en trois mouvements.
Du consentement, on passe au défaut.
De la délibération, on passe au paramétrage.
Et du secret confié, on passe au secret versé.
Aucun de ces mouvements n’est spectaculaire. Chacun se fait par le design d’un formulaire, l’ordre de deux phrases dans un contrat, le réglage d’une case. C’est précisément ce qui les rend difficiles à saisir : il n’y a pas de décision unique, datée, signée, qu’on pourrait contester. Il y a une architecture qui rend un résultat probable — l’inclusion massive — tout en laissant à chacun, formellement, sa liberté.
On peut résumer la logique d’un mot : la charge suit la valeur. Pour la voir, il faut rappeler que le RGPD distribue deux rôles : le responsable de traitement, qui décide des finalités et porte l’essentiel des obligations, et le sous-traitant, qui agit pour son compte et sous ses instructions. Pour l’activité de soin, le responsable de traitement, c’est vous ; Doctolib n’est que votre sous-traitant. Et tout se passe comme si les tâches ingrates de la conformité étaient poussées vers le praticien, tandis que la valeur — le corpus — restait, elle, du côté de Doctolib. Sur le report de charge, au moins, c’est le contrat qui l’écrit noir sur blanc. L’article 4.1 demande au praticien non seulement d’informer ses patients, mais de « veiller […] au respect par Doctolib des obligations prévues par le RGPD » et de « superviser les traitements effectués par Doctolib ».
Superviser un prestataire de cette taille supposerait un pouvoir d’audit ; or l’article 12 du même contrat enserre ce droit au point de le rendre difficilement praticable : un audit par an au maximum, à la charge financière du praticien, sur préavis de trente jours, selon une convention soumise à l’accord préalable de Doctolib, et aucun test d’intrusion sans l’accord écrit et préalable de Doctolib. On confie la surveillance à celui qui n’a pas les moyens de l’exercer. Pendant ce temps, pour la réutilisation de recherche, les rôles s’inversent : c’est Doctolib qui reprend la main comme responsable de traitement — et décide.
Deux clauses du contrat général prolongent cette asymétrie, et méritent d’être signalées avec prudence, car leur portée juridique reste à faire trancher. La première fait déclarer au praticien qu’il a eu « la possibilité effective de négocier » le contrat et qu’il « renonce à tout droit de contester la validité de ces termes au motif d’un déséquilibre significatif ». Or on ne renonce pas d’avance à une protection d’ordre public, et un contrat-type proposé sans négociation clause par clause pourrait relever du régime des contrats d’adhésion (article 1171 du Code civil), qui répute non écrite la clause non négociable créant un déséquilibre significatif. La validité d’une telle renonciation est, pour le moins, discutable. Ce sont des questions pour un juriste, pas pour un article — mais elles éclairent le rapport de force dans lequel s’inscrit la fameuse « autorisation » du praticien.
Ce qui manque, au fond, tient en une phrase : rien, dans les documents publiés, ne décrit de séparation étanche et auditée entre le corpus de recherche et le développement des produits. Le même alinéa du contrat range d’ailleurs les deux finalités ensemble — « réaliser des recherches et des études ; améliorer et développer les Services ». Ce n’est pas la preuve d’un détournement ; c’est l’absence d’une garantie. Et sur un corpus fait de paroles de patients, l’absence de cette garantie n’est pas un détail.
Ne pas s’opposer, est-ce accepter ?
Reste une question que le dispositif esquive : à quoi, exactement, le patient consent-il en gardant le silence ? Le portail ne décrit pas un protocole, mais des catégories — « données de santé, données d’habitude de vie, données démographiques ». Ni la liste des variables réellement mobilisées, ni la méthode, ni l’analyse d’impact ne sont accessibles. On demande de ne pas s’opposer à une intention de recherche plus qu’à un protocole défini.
La fiche détaillée devrait pourtant exister quelque part. La MR-004 impose d’enregistrer chaque projet dans le répertoire public du Health Data Hub8, dont les fiches précisent les catégories exactes de données, les variables sensibles mobilisées, les objectifs, les destinataires. Nous avons interrogé ce répertoire le 15 juillet 2026 : sur les 14 491 projets alors référencés, le nom « Doctolib » n’apparaît que trois fois, à chaque fois de façon incidente, jamais comme responsable d’un traitement de recherche. Le projet annoncé pour août n’y figure pas encore sous une forme identifiable. La version la plus documentée — celle qui dirait pour quoi, précisément — n’est donc pas encore en ligne. Il ne reste que la version allégée du portail.
Et le silence engage plus qu’un projet. Le formulaire d’opposition est rédigé en termes généraux — s’opposer « à la réutilisation de [ses] données […] à des finalités de recherche » —, et l’e-mail annonce déjà que ce premier projet « ouvre la voie à d’autres travaux ». Le patient qui ne fait rien est inclus dans l’étude en cours ; et puisque d’autres travaux sont annoncés, il lui appartiendra, pour chacun à venir, de repérer l’information et de s’y opposer à nouveau. En droit, ce n’est pas un blanc-seing : chaque projet doit être déclaré et l’information renouvelée avant sa mise en œuvre. En pratique, la vigilance permanente ainsi demandée au patient fait que l’absence d’opposition finit par y ressembler.
Ce qui rendrait ce dispositif légitime
La question à poser à Doctolib n’est donc pas « en avez-vous le droit ? » — la réponse est probablement oui. Elle est : à quelles conditions ce programme serait-il légitime ? Et cette question-là n’appelle pas une réponse juridique, mais une réponse professionnelle. Sept conditions, qu’aucun texte n’impose mais que la profession est fondée à exiger :
L’analyse d’impact rendue publique
Et pas seulement conduite.
Les projets enregistrés au répertoire public du Health Data Hub
Comme la MR-004 le prévoit. À la date de cet article, nous ne les y avons pas trouvés ; l’obligation mord avant la mise en œuvre, prévue en août — ce sera un test vérifiable par chacun.
Une séparation étanche et auditée
Entre le corpus de recherche et l’entraînement des produits.
Un consentement explicite — un opt-in — pour les contenus de consultation transcrits
Dont la nature n’a rien de comparable avec un historique de rendez-vous.
Une information portée par le praticien
Avec les moyens de la porter, plutôt que par une campagne d’e-mails.
Un régime spécifique pour les disciplines à secret renforcé
La santé mentale au premier chef.
Une information de niveau protocole, projet par projet, et un délai réel avant le démarrage
Pour que ne pas s’opposer redevienne un choix éclairé, et non un défaut subi.
Aucune de ces sept conditions n’est exigée par le droit. Toutes les sept sont exigibles par la profession. C’est exactement l’espace dans lequel un clinicien a quelque chose à dire que ni un juriste ni un ingénieur ne diront à sa place.
En attendant, il reste des gestes concrets :
Si vous êtes abonné : vérifiez votre réglage
Ouvrez le centre de confidentialité de votre espace professionnel et regardez l’état du réglage de réutilisation des données : tant qu’on ignore précisément ce qu’il recouvre, il n’y a aucune raison de l’accorder — c’est l’un des deux verrous du dispositif, et c’est vous qui le tenez.
Informez votre file active
Rien ne l’interdit, et la déontologie le recommande.
Si vous êtes vous-même patient : opposez-vous
Pour vous et vos proches, via le formulaire dédié du portail.
Portez la question là où elle doit être tranchée
Vos sociétés savantes, votre ordre professionnel. Le versement, dans le corpus de recherche d’une entreprise privée, de ce que vos patients vous confient sous secret ne devrait pas se décider dans un back-office logiciel.
La conformité n’épuise pas la légitimité. En santé mentale, où la donnée est une parole et où le secret est la condition même de cette parole, l’écart entre les deux est maximal. C’est cet écart, et non une quelconque illégalité, qui appelle notre vigilance.
Note de méthode. Cet article s’appuie exclusivement sur des sources publiques : les documents de Doctolib — l’e-mail du 11 juillet 2026, le portail de recherche, la politique de confidentialité Patients (avril 2026) et les contrats professionnels « Version Juillet 2026 » (accord de protection des données et conditions générales) —, consultés à la mi-juillet 2026 ; les textes et référentiels applicables (RGPD, méthodologie de référence MR-004 — délibération CNIL n° 2018-155, guide HAS-CNIL 2026, lignes directrices du CEPD sur la pseudonymisation) ; et le répertoire public du Health Data Hub, interrogé le 15 juillet 2026 sur son export officiel (recherche plein texte, insensible à la casse et aux accents). Les analyses juridiques (déséquilibre significatif, articulation responsable de traitement / sous-traitant) sont présentées comme des questions à faire trancher, non comme des conclusions arrêtées. Un seul élément n’a pu être observé directement : l’état par défaut du réglage de réutilisation dans l’espace professionnel — l’article ne l’affirme donc pas. L’ensemble des documents analysés a été archivé et horodaté électroniquement à la mi-juillet 2026 ; les certificats d’horodatage sont conservés par l’auteur.
Références
-
Doctolib. (2026, 11 juillet). Doctolib s’engage dans la recherche pour améliorer la santé [e-mail adressé aux utilisateurs]. ↩
-
Doctolib. (2026). Laboratoire de recherche en IA. https://about.doctolib.fr/laboratoire-recherche-ia/ — et le portail de recherche présentant les projets : https://about.doctolib.fr/portail-de-recherche/ (consultés à la mi-juillet 2026). ↩
-
Haute Autorité de Santé & CNIL. (2026). Accompagner le bon usage des systèmes d’intelligence artificielle en contexte de soins. https://www.cnil.fr/sites/default/files/2026-03/guide_has_cnil_recommandations_ia.pdf ↩
-
CNIL. Méthodologie de référence MR-004 (délibération n° 2018-155 du 3 mai 2018). https://www.cnil.fr/fr/declaration/methodologie-de-reference-04-recherches-nimpliquant-pas-la-personne-humaine-etudes-et-evaluations-dans-le-domaine-de-la-sante ↩
-
Doctolib. (2026). Accord sur la protection des données à caractère personnel — Doctolib Pro France, « Version Juillet 2026 ». https://info.doctolib.fr/dpa/ (consulté à la mi-juillet 2026). ↩
-
Doctolib. (2026, avril). Politique de protection des données à caractère personnel — Patients. ↩
-
Comité européen de la protection des données. (2025). Guidelines 01/2025 on Pseudonymisation. https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en ↩
-
Plateforme des données de santé (Health Data Hub), répertoire public des projets. https://www.health-data-hub.fr/ (export officiel interrogé le 15 juillet 2026). ↩
Mots-clés