Condamnation de Doctissimo par la CNIL : quelles leçons en tirer ?
Le 11 mai 2023, la CNIL, appuyée par ses homologues européens (mécanisme du guichet unique s’agissant d’un site internet s’adressant à plusieurs Etats membres), a prononcé deux amendes à l’encontre du site Doctissimo.
Une amende de 100.000 euros pour non-respect des règles relatives aux cookies. Sujet déjà abordé à de nombreuses reprises… La seconde est plus intéressante : Une amende de 280.000 euros pour non-respect général du RGPD.
Il y a en réalité 4 infractions qui ont été relevées, qui auraient facilement pu être évitées :
- Manquement à l’obligation de sécurité des données : pas de protocole HTTPS et mots de passe non sécurisés pour l’accès au compte en ligne des internautes
- Durée trop longue de conservation des données : le site Doctissimo met à disposition de ses internautes des tests dont les résultats sont conservés 24 mois. La CNIL estime que cette durée de conservation est trop longue dès lors que les résultats des tests servent à l’internaute juste le temps d’en prendre connaissance, et au site, juste le temps d’en faire des statistiques, qui ne prennent pas 24 mois à réaliser.
- Manquement à l’obligation de recueillir le consentement des personnes pour collecter leurs données de santé : aucun avertissement ni mécanisme de recueil du consentement comme une case à cocher pour s’assurer que les internautes consentent au traitement de leurs données de santé
- Défaut de contractualisation avec les co-traitants : le site commercialise notamment des espaces publicitaires, ce qui doit être encadré par un contrat pour formaliser le partage de responsabilité.
L’amende est normalement et selon la communication officielle de la CNIL en rapport avec la gravité des manquements et le chiffre d’affaires réalisé par la société. Difficile d’en tirer des leçons puisque l’on parle d’une société dont les comptes ne sont pas publiés ! Cela étant dit, il est intéressant de relever que Doctissimo a un capital social de plus de 16 millions d’euros et traite de données aussi sensibles que les données de santé, sur plusieurs pays européens…