Amende Doctissimo : pourquoi la CNIL condamne le site de santé
La CNIL tape sur les doigts du site de santé Doctossimo, qui n'a respecté ni le RGPD, ni les obligations liées à l'utilisation des cookies. Et lui inflige une amende de 380 000 euros, qui parait bien faible compte tenu des faits reprochés...
La Commission nationale de l'informatique et des libertés (CNIL) a encore frappé. Et cette fois, c'est Doctossimo, le site de Reworld Media qui propose des articles, tests, quiz et forums de discussion en lien avec la santé et le bien-être pour le grand public, qui se trouve dans sa ligne de mire. Dans un communiqué publié le 17 mai 2023, le gendarme du numérique annonce avoir condamné le média à une amende de 380 000 euros à cause de manquements au Règlement général sur la protection des données (RGPD) – à hauteur de 280 000 euros – et aux obligations relatives aux cookies – à hauteur de 100 000 euros. Ces infractions concernent "les durées de conservation des données, la collecte de données de santé via des tests en ligne, la sécurisation des données ainsi que les modalités de dépôt des cookies sur le terminal des utilisateurs". Une condamnation qui fait suite à une plainte déposée en 2020 par l'ONG Privacy International et qui est particulièrement inquiétante, car ces traitements de données à caractère sensible concernent directement des millions de personnes en France.
Amende Doctossimo : d'importants manquements au RGPD
Privaty International reprochait à Doctissimo le "partage systématique de données personnelles avec un grand nombre de tiers", souvent à des fins publicitaires, et ce malgré leur caractère sensible. "Si vous répondez à un test sur la dépression ou consultez des informations sur la grossesse, ces données vont pouvoir être centralisées par ces partenaires via leurs trackers afin de construire un profil détaillé qui va être vendu à des éditeurs et permettre d'envoyer des publicités, mais potentiellement finir ailleurs, dans des agences de notation de crédit par exemple" expliquait l'ONG. Elle avait également constaté que les réponses des internautes étaient envoyées sans protection au prestataire technique responsable du test, alors même qu'elles comportaient, elles aussi, des informations d'ordre médical.
Plusieurs infractions ont été constatées par le gendarme du numérique, dont quatre vis-à-vis du RGPD et une à la loi Informatique et Libertés – et plus précisément à l'article 82. Tout d'abord, il a jugé la durée de conservation des données liées aux tests relatif à la santé réalisés par les internautes – 24 mois – "excessive". En outre, les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient aussi conservées, et ce sans procédure d'anonymisation des informations. En plus, le site "ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne, afin de s'assurer que l'utilisateur avait conscience et consentait au traitement de ses données de santé", indique la CNIL.
La CNIL prononce une sanction de 380 000 euros à lencontre de la société DOCTISSIMO pour avoir manqué à des obligations du #RGPD et pour ne pas avoir respecté les règles sur les #cookies https://t.co/at0x5sVDNg pic.twitter.com/SbCxbsO2Ny
— CNIL (@CNIL) May 17, 2023
Doctossimo est également reconnu coupable d'avoir utilisé les données personnelles de ses utilisateurs en collaboration avec d'autres entreprises, notamment à des fins publicitaires, sans cadre contractuel. Autre problème : jusqu'en 2019, les données, y compris les mots de passe, n'étaient pas conservées de façon sécurisée puisque le site utilisait le protocole de communication "http"(Hypertext Transfer Protocol ), rendant les données vulnérables aux attaques informatiques et aux fuites. Enfin, la CNIL a constaté le dépôt d'un cookie publicitaire sur le terminal de l'utilisateur sans son consentement dès l'arrivée sur le site, et deux autres après que l'internaute ait cliqué sur le bouton "Tout refuser".
Amende Doctissimo : une sanction dérisoire ?
Doctossimo a été condamné à une amende totale de 380 000 euros, qui prend en compte "la nature et la gravité des manquements, les catégories de données personnelles (données de santé) et le nombre de personnes concernées ainsi que la situation financière de la société", de même que "le fait qu'au vu de sa nature et de son secteur d'activité, c'est-à-dire la diffusion de contenus numériques relatifs à la santé, la société aurait dû faire preuve d'une vigilance particulière quant au recueil du consentement des personnes pour collecter leurs données de santé."
Problème : le montant de l'amende retenu apparaît quelque peu en décalage avec les fautes commises par la plateforme – d'autant plus que les données de santé collectées appartiennent à la catégorie des données personnelles sensibles – et la fréquentation importante de la plateforme, qui compte "des centaines de millions" d'utilisateurs. Surtout, Doctissimo appartient au groupe Reworld Media depuis juin 2022, qui a réalisé un chiffre d'affaires de 505,8 millions d'euros en 2022. Au moment des faits, il appartenait au groupe TF1, dont le chiffre d'affaires annuel était, en 2021, de plus de 2,4 milliards d'euros. Reste à juger si l'amende infligée est "à la fois dissuasive et proportionnée".