Violation du RGPD : Doctissimo écope de lourdes amendes de la CNIL

Doctissimo : deux amendes prononcées par la CNIL

Suite à un plainte déposée par l’association britannique Privacy International, la CNIL a procédé à quatre missions de contrôle auprès de Doctissimo, une plateforme en ligne populaire dédiée à la santé et au bien-être. Ce contrôle a révélé 4 violations du RGPD ainsi qu'un manquement à la loi Informatique et Libertés. La CNIL a publié un article sur son site officiel, elle y énonce les motifs des amendes et pose le contexte durant lequel le contrôle a été effectué. Cette décision met en évidence l'impact potentiel sur la confidentialité et la protection des données de santé des utilisateurs de Doctissimo.

L'amende de 280.000 euros en raison des manquements au RGPD

La CNIL a retenu et sanctionné 4 manquements au RGPD. Cette amende a été imposée par la CNIL en collaboration avec ses homologues européens étant donné le fait que Doctissimo est un site web comptant des visiteurs dans toute l'Union Européenne.

• un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché : Doctissimo réalisait des tests et conservait les résultats pour des périodes de 24 mois, puis 3 mois à partir de leur réalisation. Cependant, la CNIL estime que cette durée est excessive par rapport à l'objectif de conservation visé. En réalité, ces données sont destinées uniquement à être consultées par les utilisateurs et partagées ;

• un manquement à l’obligation de recueillir le consentement des utilisateurs avant de collecter leurs données de santé : Doctissimo ne mettait en place aucun avertissement ou mécanisme de recueil du consentement lors des tests en ligne pour garantir que les utilisateurs consentaient au traitement de leurs données de santé ;

• un manquement à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement : Doctissimo réalise des traitements de données personnelles en collaboration avec d'autres entreprises. Ces relations n'étaient pas régies par un contrat.

• un manquement à l'obligation d'assurer la sécurité des données personnelles : Doctissimo utilisait jusqu'en 2019 un protocole de communication non sécurisé "http". Cela exposait les données personnelles des utilisateurs à des risques d'attaques informatiques ou de fuite. De plus, la société conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé.

Pour comprendre comment sensibiliser vos salariés sur le RGPD, consultez cet article.

L'amende de 100.000 euros concernant le manquement relatif à l’utilisation des cookies

Dans le cadre d'un manquement à la loi Informatique et Libertés, la CNIL est compétente pour agir seule.

Durant son contrôle, la CNIL a constaté le dépôt d'un cookie publicitaire sur le terminal des utilisateurs dès leur arrivée sur le site et avant la demande de consentement, ainsi que le dépôt de 2 cookies après avoir cliquer sur "TOUT REFUSER".

La CNIL a considéré que l'absence de recueil du consentement a concerné chacun des visiteurs du site web Doctissimo, soit des centaines de millions de personnes.

Vous souhaitez avoir accès à l'ensemble de nos dossiers ? 

Violation du RGPD : La CNIL prononce des sanctions chaque année

Doctissimo n'est pas l'unique entreprise à avoir été sanctionnée par la CNIL, bien au contraire. Chaque année, l'autorité condamne un certain nombre d'entreprises pour des violations du RGPD. En 2023, la CNIL a déjà infligé des amendes à plusieurs sociétés, dont Cityscoot.

Cityscoot, une société de location de scooters pour courte durée, a été sanctionnée par une amende de 125.000 euros. La CNIL a identifié deux violations du RGPD ainsi qu'une infraction à la loi Informatique et Libertés. L'autorité a constaté que Cityscoot géolocalisait les utilisateurs de manière quasi permanente, ce qui est une pratique non conforme aux exigences de confidentialité et de protection des données.

En novembre 2022, la CNIL a également prononcé une sanction de 300.000 euros à l'encontre de la société FREE. Dans ce cas, la CNIL a relevé quatre manquements au RGPD, notamment un défaut de sécurité des données et un non-respect du droit d'accès des utilisateurs à leurs données personnelles.

Ces exemples démontrent que la CNIL ne ménage pas ses efforts pour faire respecter les règles du RGPD et protéger les droits des utilisateurs. Les amendes imposées à Doctissimo, Cityscoot et FREE illustrent les conséquences financières significatives auxquelles les entreprises peuvent être confrontées en cas de non-conformité aux obligations du RGPD. Il est donc primordial pour les entreprises de se conformer aux règles de protection des données afin d'éviter de telles sanctions et de préserver la confiance des utilisateurs.

Quelles mesures pour garantir la conformité au RGPD et le respect de la protection des données de santé ?

Comment traiter les données de manière conforme au RGPD ?

Lors du traitement des données, il faut respecter certains principes fondamentaux du RGPD, dont  :

• licéité, loyauté et transparence (1) : les données doivent être traitées de manière légale, équitable et transparente. Les utilisateurs doivent être informés de manière claire sur les finalités du traitement et les bases légales qui le justifient ; 

• minimisation des données (2) : seules les données nécessaires aux finalités spécifiques du traitement doivent être collectées et traitées ;

• conservation limitée dans le temps (3) : ces données doivent être conservées pendant une durée limitée proportionnellement à leur finalité ;

• protection et sécurisation des données (4) : les données doivent être traitées de manière sécurisée pour garantir leur protection contre toute perte, altération ou divulgation non autorisée.

Vous souhaitez aller plus loin : https://www.juritravail.com/Actualite/rgpd-quel-consentement-sur-internet/Id/361634