Blog Données personnelles

La CNIL sanctionne lourdement la société DOCTISSIMO pour non respect des principes de protection des données

Dans sa délibération en date du 11 mai 2023 [1], la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO (ci-après « la société ») pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le consentement des personnes à la collecte et l’utilisation de leurs données de santé mais également pour ne pas avoir respecté les règles sur les cookies.

I. Les faits et la procédure

La société DOCTISSIMO édite un site web proposant des articles, tests, forums de discussion en lien avec la santé. En juin 2020, la CNIL a été saisie d’une plainte par l’association PRIVACY INTERNATIONAL concernant les traitements de données à caractère personnel des utilisateurs mis en œuvre, sur son site web, par la société DOCTISSIMO.

Lors de ses contrôles, la CNIL a caractérisé plusieurs manquements, notamment concernant les durées de conservation des données, la collecte de données de santé en ligne, la sécurité des données et les modalités de dépôt des cookies sur les terminaux des visiteurs du site web.

II. Les motifs de la décision

A. Sur le manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)

En l’espèce, la société conservait les réponses issues des tests effectués en ligne par les utilisateurs loggés, non loggés ainsi que l’adresse IP pendant une durée de 24 mois à compter de leur réalisation. La CNIL considère que ces durées de conservation sont excessives eu égard aux finalités exposées à savoir permettre à l’utilisateur de prendre connaissance de son résultat au test, d’en effectuer un partage et pour la société, réaliser des statistiques agrégées.

La CNIL note que les données des utilisateurs inactifs depuis plus de trois (3) ans étaient également conservées sans que les données soient anonymisées.

B. Sur le manquement à l’obligation de recueillir le consentement des personnes pour collecter leurs données de santé (article 9 du RGPD)

Aux termes de l’article 9 du RGPD, le traitement des données concernant la santé d’une personne physique est interdit sauf s’il relève d’une des exceptions figurant à l’article 9-2-a) à j). La formation restreinte relève qu’aucun avertissement particulier ni mécanisme de recueil du consentement ne figurait sur les questionnaires afin de s’assurer que la personne avait conscience et consentait au traitement de ses données de santé.

C. Sur le manquement à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement (article 26 du RGPD)

La formation restreinte de la CNIL retient qu’il ressort des éléments transmis par la société qu’elle se considère comme responsable conjoint. Or, aucun contrat entre la société et les deux autres entités conjointes ne contient de disposition relative à la définition des obligations respectives des parties en application de l’article 26 du RGPD.

D. Sur le manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

La CNIL relève que la société a eu recours jusqu’en octobre 2019 au protocole « HTTP ». La formation restreinte rappelle qu’en application de l’article 32 du RGPD, il incombe au responsable de traitement de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». De plus, la survenance d’une violation de données n’est pas nécessaire à la caractérisation d’un manquement, l’absence de mesures suffisantes constituant un manquement à l’article 32 du RGPD. En conséquence, au regard du caractère sensible des données objet du traitement, l’absence de mise en place d’un protocole sécurisé « HTTPS » caractérise un manquement à l’article 32 RGPD.

En outre, la société conservait les mots de passe des internautes dans un format insuffisamment sécurisé (algorithme MD5 non conforme aux recommandations de l’ANSSI [2] ), la politique de gestion des mots de passe de la société ne mobilisant pas de mesures satisfaisantes pour assurer la sécurité des données personnelles.

E. Sur le manquement aux obligations liées à l’utilisation des cookies (article 82 de la Loi Informatique et Libertés)

La CNIL rappelle que l’article 82 de la loi Informatique et Libertés prévoit expressément que les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur ne peuvent avoir lieu qu’après que ce dernier ait exprimé son consentement. Les cookies publicitaires n’ayant pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique et n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, ils ne peuvent pas être déposés ou lus sur le terminal de personne sans l’obtention de son consentement.

Or, le dépôt et la lecture d’un cookie ayant pour finalité la publicité ciblée sans recueillir préalablement le consentement caractérise le manquement à l’article 82. Enfin, la formation restreinte relève que le cookie à finalité publicitaire demeurait stocké sur l’équipement même en cas de refus formulé de la part de l’internaute.

La société ayant pris des mesures pour sa mise en conformité par rapport à l’intégralité des manquements, la CNIL a clôturé la procédure.


[2Agence nationale de la sécurité des systèmes d’information