Le site d’informations sur la santé Doctissimo est sanctionné par une amende de 380 000 € par la Cnil pour sa collecte de données de santé en dehors des clous du RGPD et son usage des cookies.
Une plainte à l’origine des contrôles
Le site Doctissimo a manqué à son obligation de recueillir le consentement des personnes à la collecte et à l’utilisation de leurs données de santé, et n’a pas respecté les règles sur les cookies. Comme d’habitude, c’est une plainte qui a tout déclenché. La Cnil s’est intéressée à Doctissimo à la suite d’une plainte de l’association Privacy International.
La Cnil a constaté des manquements concernant la collecte de données de santé via les tests en ligne
La Cnil a retenu 4 manquements au RGPD et 1 manquement à la loi Informatique et Libertés à l’encontre de la société Doctissimo. Doctissimo conservait les données des tests des internautes pendant 24 mois, puis 3 mois, à compter de leur réalisation. La Cnil considère que ces durées de conservation sont excessives, car elles ne correspondent pas au strict besoin de la société qui collecte les données des tests afin de permettre à l’utilisateur de prendre connaissance des résultats du test, de les partager ainsi que de réaliser des statistiques agrégées.
Absence de procédure d’anonymisation
De plus, les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient conservées sans procédure d’anonymisation. Il s’agit d’un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD).
Doctissimo ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne
Par ailleurs, Doctissimo met en œuvre des traitements de données personnelles avec d’autres sociétés afin de vendre des espaces publicitaires sur son site web. La Cnil relève que ces relations de responsabilités conjointes n’étaient pas encadrées par un document formalisé, comme un contrat. La Cnil rappelle qu’un tel document doit indiquer la répartition des obligations entre chaque responsable de traitement. Il s’agit d’un manquement à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement (article 26 du RGPD).
Des mots de passe insuffisamment sécurisés
Dernier manquement RGPD constaté, Doctissimo a utilisé jusqu’en octobre 2019 un protocole de communication « http », qui exposait les données à des risques d’attaques informatiques ou de fuite, selon la Cnil. En outre, Doctissimo conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, alors qu’ils permettaient d’accéder à l’espace personnel contenant les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée. Il s’agit de manquements à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD).
L’absence de recueil du consentement a concerné des centaines de millions d’internautes
Dans le détail, Doctissimo doit régler une amende de 280 000 € au regard des manquements au règlement général sur la protection des données (RGPD). Cette amende a été prise en coopération avec l’ensemble des homologues européens de la CNIL dans le cadre du guichet unique, car le site web a des visiteurs dans tous les États membres de l’Union européenne.
Une amende de 100 000 € sur le dépôt de cookies commerciaux
De plus, Doctissimo doit payer une amende de 100 000 € concernant le manquement relatif à l’utilisation des cookies (l’article 82 de la loi Informatique et Liberté). Dans ce cas, la Cnil est compétente pour agir seule.
Afin de déterminer le montant de la sanction, la Cnil souligne qu’elle a pris en compte la nature et la gravité des manquements, le fait qu’il s’agisse de données de santé, et le nombre de personnes concernées ainsi que la situation financière de la société.
La Cnil a également pris en considération le fait qu’au vu de sa nature et de son secteur d’activité, c’est-à-dire la diffusion de contenus numériques relatifs à la santé, Doctissimo aurait dû faire preuve d’une vigilance particulière quant au recueil du consentement des personnes pour collecter leurs données de santé.