La Commission Nationale de l’Informatique et des Libertés (CNIL) a condamné la société Doctissimo [1] à une sanction de 380 000 euros. L’organisme avait procédé à quatre missions de contrôle suite à une plainte de l’association Privacy International. La délibération a été publiée le 17 mai.
Cinq « manquements » constatés
La CNIL a identifié quatre « manquements » au Règlement Général sur la Protection des Données (RGPD) et un manquement à la loi Informatique et Libertés.
Doctissimo « conservait les données relatives aux tests réalisés par les internautes pendant 24 mois, puis 3 mois, à compter de leur réalisation ». Une durée jugée « excessive » par la CNIL qui observe ici un « manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché ». Les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient également conservées sans procédure particulière.
Le deuxième manquement pointé par la Commission concerne « l’obligation de recueillir le consentement des personnes pour collecter leurs données de santé ». En effet, « aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne » n’était prévu, dénonce la CNIL.
Les deux derniers manquements au RGPD ont trait à « l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement » et à celle « d’assurer la sécurité des données personnelles ».
Enfin, l’instance a constaté un manquement aux obligations liées à l’utilisation des cookies. En effet, le site web procédait au dépôt d’un cookie publicitaire sur le terminal de l’utilisateur « sans son consentement et dès son arrivée sur le site ». Deux cookies publicitaires étaient également déposés après que l’utilisateur avait cliqué sur le bouton « Tout refuser ».
Une sanction proportionnée
La Commission « considère que l’absence de recueil du consentement a concerné chaque visiteur du site web, soit des centaines de millions d’internautes ». Pour déterminer le montant de la sanction, « la CNIL a pris en compte la nature et la gravité des manquements, les catégories de données personnelles (données de santé) et le nombre de personnes concernées ainsi que la situation financière de la société ». « Elle a également pris en considération le fait qu’au vu de sa nature et de son secteur d’activité, c’est-à-dire la diffusion de contenus numériques relatifs à la santé, la société aurait dû faire preuve d’une vigilance particulière quant au recueil du consentement des personnes pour collecter leurs données de santé », souligne l’instance.
Doctissimo « ayant pris des mesures pour se mettre en conformité sur l’ensemble des manquements », la CNIL a clos la procédure.
[1] « Le site web doctissimo.fr propose principalement des articles, tests, quiz et forums de discussion en lien avec la santé et le bien-être, à destination du grand public. »