Doctissimo lourdement sanctionné sur son traitement des données personnelles

Le site d’informations sur la santé Doctissimo est sanctionné par une amende de 380 000 € par la Cnil pour sa collecte de données de santé en dehors des clous du RGPD et son usage des cookies.

Une plainte à l’origine des contrôles

Le site Doctissimo a manqué à son obligation de recueillir le consentement des personnes à la collecte et à l’utilisation de leurs données de santé, et n’a pas respecté les règles sur les cookies. Comme d’habitude, c’est une plainte qui a tout déclenché. La Cnil s’est intéressée à Doctissimo à la suite d’une plainte de l’association Privacy International.

La Cnil a procédé à 4 missions de contrôle auprès de la société Doctissimo. Le site web doctissimo.fr propose des articles, des tests, des quiz et des forums de discussion en lien avec la santé et le bien-être, à destination du grand public. La Cnil a constaté des manquements concernant les durées de conservation des données, la collecte de données de santé via les tests en ligne, la sécurisation des données et le dépôt des cookies sur le terminal des utilisateurs.

La Cnil a retenu 4 manquements au RGPD et 1 manquement à la loi Informatique et Libertés à l’encontre de la société Doctissimo. Doctissimo conservait les données des tests des internautes pendant 24 mois, puis 3 mois, à compter de leur réalisation. La Cnil considère que ces durées de conservation sont excessives, car elles ne correspondent pas au strict besoin de la société qui collecte les données des tests afin de permettre à l’utilisateur de prendre connaissance des résultats du test, de les partager ainsi que de réaliser des statistiques agrégées. 

Absence de procédure d’anonymisation

De plus, les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient conservées sans procédure d’anonymisation. Il s’agit d’un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD).

Autre manquement, Doctissimo ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne, afin de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé alors que ces données sont considérées comme particulièrement sensibles au regard du RGPD. Selon Doctissimo, la collecte des données de santé concernait environ 5 % des tests. Il s’agit d’un manquement à l’obligation de recueillir le consentement des personnes pour collecter leurs données de santé (article 9 du RGPD).

Par ailleurs, Doctissimo met en œuvre des traitements de données personnelles avec d’autres sociétés afin de vendre des espaces publicitaires sur son site web. La Cnil relève que ces relations de responsabilités conjointes n’étaient pas encadrées par un document formalisé, comme un contrat. La Cnil rappelle qu’un tel document doit indiquer la répartition des obligations entre chaque responsable de traitement. Il s’agit d’un manquement à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement (article 26 du RGPD).

Des mots de passe insuffisamment sécurisés

Dernier manquement RGPD constaté, Doctissimo a utilisé jusqu’en octobre 2019 un protocole de communication « http », qui exposait les données à des risques d’attaques informatiques ou de fuite, selon la Cnil. En outre, Doctissimo conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, alors qu’ils permettaient d’accéder à l’espace personnel contenant les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée. Il s’agit de manquements à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD).

Enfin, la Cnil a constaté le dépôt d’un cookie publicitaire sur le terminal de l’utilisateur dès son arrivée sur le site sans son consentement ainsi que le dépôt de deux cookies publicitaires après avoir cliqué sur le bouton « Tout refuser ». La Cnil considère que cette absence de recueil du consentement a concerné chaque visiteur du site web, soit des centaines de millions d’internautes. C’est un manquement aux obligations liées à l’utilisation des cookies (article 82 de la Loi Informatique et Libertés). Au final, Doctissimo ayant pris des mesures pour se mettre en conformité sur l’ensemble des manquements, la CNIL a procédé à la clôture de la procédure.

Dans le détail, Doctissimo doit régler une amende de 280 000 € au regard des manquements au règlement général sur la protection des données (RGPD). Cette amende a été prise en coopération avec l’ensemble des homologues européens de la CNIL dans le cadre du guichet unique, car le site web a des visiteurs dans tous les États membres de l’Union européenne.

Une amende de 100 000 € sur le dépôt de cookies commerciaux

De plus, Doctissimo doit payer une amende de 100 000 € concernant le manquement relatif à l’utilisation des cookies (l’article 82 de la loi Informatique et Liberté). Dans ce cas, la Cnil est compétente pour agir seule.
Afin de déterminer le montant de la sanction, la Cnil souligne qu’elle a pris en compte la nature et la gravité des manquements, le fait qu’il s’agisse de données de santé, et le nombre de personnes concernées ainsi que la situation financière de la société.

La Cnil a également pris en considération le fait qu’au vu de sa nature et de son secteur d’activité, c’est-à-dire la diffusion de contenus numériques relatifs à la santé, Doctissimo aurait dû faire preuve d’une vigilance particulière quant au recueil du consentement des personnes pour collecter leurs données de santé.