Derrière la promesse de l’IA médicale, le flou sur la protection des données
Les Surligneurs
2025-10-28
View source
Source :
Etiqe :
Contenu :
En levant 4,7 millions d’euros, la start-up française Vocca veut révolutionner le secrétariat médical avec une IA réceptionniste capable de gérer les appels des patients. Une innovation prometteuse, mais qui pose une question simple : où passent les données de santé ?
Le 25 septembre 2025, la start-up française Vocca a annoncé avoir levé 4,7 millions d’euros pour déployer à grande échelle son programme d’intelligence artificielle dédiée au secrétariat médical. L’entreprise ambitionne de révolutionner la gestion des appels dans les centres de santé grâce à un agent conversationnel capable de gérer les appels entrants et sortants.
Sur LinkedIn, la start-up promet une prise de rendez-vous simplifiée, des rappels automatiques et une réduction des coûts pour les établissements. Elle vante aussi un agent « formé au vocabulaire médical » et capable d’identifier les cas urgents. En clair, un humain décroche un appel à la fois ; Vocca, elle, peut tout gérer en même temps.
Mais dans cette avalanche de promesses technologiques, un mot manque : données. Et quand on parle de conversations médicales, c’est loin d’être un détail.
Vocca, un outil de traitement de données sensibles
Chaque appel, chaque échange avec Vocca contient forcément des données personnelles, et souvent des données de santé : nom, pathologie, date de rendez-vous, médecin traitant… Autant d’informations que le règlement général sur la protection des données (RGPD) protège avec une vigilance particulière.
En principe, le RGPD interdit le traitement de ces données sensibles. Mais des exceptions existent : si la personne concernée donne son consentement explicite, ou si le traitement est nécessaire à la gestion des soins ou au diagnostic médical.
Dans ce dernier cas, le traitement doit impérativement être effectué par un professionnel de santé soumis au secret professionnel, ou placé sous sa responsabilité. Autant dire qu’une IA réceptionniste doit s’entourer de solides garde-fous.
Des règles contraignantes
D’autant que le RGPD ne plaisante pas avec les données sensibles. Il impose la désignation d’un responsable de traitement, chargé de protéger les droits des personnes et de mettre en place des mesures techniques et organisationnelles adaptées : pseudonymisation, chiffrement, traçabilité…
Ces mesures visent à empêcher qu’une donnée puisse être reliée directement à une personne sans disposer d’informations complémentaires, conservées séparément et en sécurité.
Dans le cas de Vocca, il est probable que la start-up agisse comme sous-traitant : les centres de santé restent décisionnaires sur l’usage des données, tandis que Vocca fournit la technologie.
Un contrat de sous-traitance doit donc encadrer la relation : Vocca ne peut traiter les données que sur instruction documentée, et doit offrir des garanties de sécurité, de confidentialité et de conformité. Elle doit aussi aider les centres à informer les patients : quelles données sont collectées, pourquoi, pour combien de temps, et quels sont leurs droits ?
Et si l’intelligence artificielle apprend à s’améliorer grâce aux données qu’elle traite — ce qui est courant — Vocca doit soit anonymiser complètement ces données, soit obtenir le consentement explicite des patients avant toute réutilisation. Reste à savoir si ces exigences sont, en pratique, respectées.
Une conformité encore floue
Sur son site, Vocca assure respecter le RGPD, utiliser un chiffrement de bout en bout et viser « le plus haut niveau de sécurité ». Elle met aussi en avant une certification américaine SOC 2, délivrée par l’entreprise Delve.
Problème : Delve n’est pas reconnue par la Commission nationale de l’informatique et des libertés (CNIL) comme organisme agréé pour certifier la conformité au RGPD. Quant au logo RGPD affiché sur le site de Vocca, il relève davantage du marketing que d’une véritable certification — le règlement européen ne reconnaît d’ailleurs aucun label ou logo officiel.
Et les difficultés ne s’arrêtent pas là : la pseudonymisation de conversations orales, non structurées et truffées d’informations personnelles, est un casse-tête technique. Et même après pseudonymisation, il faut pouvoir réassocier les données au bon patient pour éviter les erreurs de dossier.
Sans oublier la durée de conservation : elle doit être « strictement nécessaire », mais, dans les faits, les enregistrements sont souvent gardés plus longtemps, le temps, dit-on, de corriger les transcriptions, d’entraîner les modèles ou de gérer des contraintes techniques de stockage. Autant de raisons qui, cumulées, font grimper le risque pour la vie privée.
Enfin, détail révélateur : au 27 octobre 2025, les liens « Politique de confidentialité » et « Conditions générales » du site Vocca ne mènent à aucune page. Impossible, donc, de vérifier concrètement comment les données sont collectées, traitées et protégées.
Contactée par SMS, la startup française n’avait pas répondu à nos sollicitations au moment de la parution de cet article. Si Vocca veut soulager les soignants, reste à savoir si elle saura le faire dans le respect du droit et de la confiance des patients — deux conditions sans lesquelles aucune innovation ne tient longtemps.
Auteurs :
Autrice : Léane Simon-Ducerf, étudiante en Master 2 droit du numérique à l’université d’Aix-Marseille
Relecteurs : Philippe Mouron, professeur de droit privé à l’université d’Aix-Marseille
Etienne Merle, journaliste
Liens d’intérêts ou fonctions politiques déclarés des intervenants à l’article : aucun
Secrétariat de rédaction : Etienne Merle, journaliste
L’article Derrière la promesse de l’IA médicale, le flou sur la protection des données est apparu en premier sur Les Surligneurs.