Doctolib est devenu en quelques années un acteur incontournable de la e-santé. Chaque jour, des millions de Français utilisent la plateforme de la licorne française pour gérer leurs rendez-vous médicaux. Cédric Voisin, son VP Plateform & Security, détaille les contours de la politique de Doctolib en matière de cybersécurité et d’IA.

Décideurs RH. Quelle est votre approche de la cybersécurité et de la protection des données ? 

Cédric Voisin. L’industrie de la santé, dans laquelle nous évoluons, est très réglementée en ce qui concerne l’utilisation et le traitement des données. Notre plateforme, gratuite pour les patients, prévoit divers services payants pour faciliter le quotidien des praticiens : prise de rendez-vous, partage de documents et d’ordonnances avec les patients, etc. Cela implique naturellement de traiter un nombre important de données, dont certaines sont considérées comme sensibles par le règlement général sur la protection des données (RGPD). Nous respectons les mesures de cybersécurité qui nous sont imposées en tant que fournisseur de services et travaillons en lien étroit avec la Commission nationale de l’informatique et des libertés (Cnil).

Nous veillons par ailleurs à aller plus loin que le cadre réglementaire, et avons été parmi les premiers à obtenir, en 2021, la norme internationale ISO/IEC 27701 relative à la sécurité du traitement des données personnelles.

Comment est pilotée la politique de cybersécurité chez Doctolib ?

Je dirige l’équipe cybersécurité, composée d’une vingtaine d’ingénieurs, et notre directrice juridique, Justine Bourdeu, s’appuie sur des collaborateurs qui se consacrent exclusivement aux enjeux de protection des données. Ils garantissent que nos processus apportent tous les gages nécessaires en matière de sécurité des données, et que les nouveaux développements au sein de notre application ne créent pas de potentielles failles dans le système.

Nous avons massivement investi dans des technologies innovantes qui sont en mesure de protéger les données des patients, et nous nous référons au travail de l’organisation internationale à but non lucratif Open Web Application Security Project (Owasp). L’Owasp publie tous les deux ans les critères à respecter et les dix erreurs à éviter lors du développement d’une application web, concernant l’écriture du système d’authentification notamment.  

"Nous avons massivement investi dans des technologies innovantes qui sont en mesure de protéger les données des patients

Au-delà des tests d’intrusion, qui sont obligatoires, nous avons recours à un ensemble de tests automatiques – 70 000 en tout –, qui sont lancés à chaque mise à jour du logiciel, soit trois fois par jour, afin de détecter d’éventuelles erreurs de conceptions. 

Nous avons également mis en place un dispositif “Bug Bounty. Nous faisons appel à des hackeurs éthiques, grâce à des sociétés telles que YesWeHack, dont le seul but est d’essayer de pénétrer nos systèmes. Si l’un d’entre eux parvient à trouver une faille, il est rémunéré. Plus la faille trouvée est complexe, donc dangereuse pour nous, plus la prime est élevée. Elle peut monter jusqu’à 50 000 euros.

Comment formez-vous vos collaborateurs à bien utiliser l’IA ? 

Nous sommes convaincus qu’il est capital que l’ensemble de nos salariés sachent manipuler les outils conçus avec des IA génératives, mais aussi qu’ils en connaissent les limites. Nous avons créé il y a deux ans une instance consacrée à l’utilisation de ChatGPT, la DoctoGPT, afin de nous assurer que nos collaborateurs l’utilisent dans un cadre bien défini, sans y insérer des données sensibles, etc.

"Chaque nouvel arrivant intègre la Doctolib Academy, qui aborde pendant une semaine divers sujets, dont ceux de la sécurité et de la protection des données

L’usage de l’IA est aujourd’hui quotidien chez Doctolib, et passe notamment par la plateforme Dust. Cela nécessite toutefois une sensibilisation et un encadrement constants. C’est pourquoi nous formons régulièrement l’ensemble des collaborateurs, pour nous assurer que nous parlons tous le même langage et avons le même niveau de connaissance concernant les fondamentaux de la sécurité, de l’usage des IA, de nos produits, etc.

Chaque nouvel arrivant intègre la Doctolib Academy, qui aborde pendant une semaine divers sujets, dont ceux de la sécurité et de la protection des données. Le cursus d’onboarding se poursuit ensuite sur deux à trois semaines et aborde des problématiques propres à chaque métier. L’apprentissage est au cœur de la culture d’entreprise de Doctolib, résumée dans l’acronyme SCALE pour Serve – notre produit sert le bien commun – Care, Act, Learn et Enjoy. Chaque collaborateur de Doctolib doit apprendre trois choses par jour – peu importe le sujet –, et peut s’appuyer pour cela sur un riche catalogue de formations.

Comment percevez-vous la place de l’IA dans le domaine de la santé ?

Les IA génératives vont révolutionner le secteur, en proposant des aides au diagnostic, en allégeant la charge de travail des praticiens grâce à des outils d’automatisation, etc. C’est pourquoi nous avons une équipe d’une centaine de data scientists qui travaille sur ces enjeux au quotidien.

Nous avons sorti en octobre 2024 la version bêta d’un assistant de consultation à destination des médecins. L’outil saisit la discussion avec le patient à l’aide d’un micro et la retranscrit, ce qui est un gain de temps considérable pour le praticien. Il va même jusqu’à proposer une prescription, ensuite validée ou non par le médecin. Nous sommes dorénavant dans la phase d’industrialisation de ce produit et comptons de nombreux clients.

Propos recueillis par Caroline de Senneville

GUIDE ET CLASSEMENTS

> Guide 2026

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail