Par une délibération du 11 mai 2023, la CNIL a prononcé une amende de 380 000 euros à l’encontre de Doctissimo, reprochant à cette dernière de nombreux manquements au RGPD.
La CNIL a été saisie d’une plainte par l’association Privacy International reprochant à l’éditeur du site internet doctissimo.fr un non-respect du RGPD.
A l’issue de son enquête sur pièce et sur place, la CNIL a notamment relevé plusieurs manquements :
Le manquement à l’obligation de conserver les données personnelles pour une durée n’excédant pas celle nécessaire au regard des finalités
La CNIL a d’abord constaté que le site conservait les réponses aux quizz des internautes pendant 24 mois. Cette durée était justifiée par Doctissimo pour permettre à l’internaute de connaître le résultat du quizz, pour partager ledit résultat et pour réaliser des statistiques sur l’utilisation du test.
Rappelant le principe de « limitation de la conservation », la CNIL, a considéré que Doctissimo violait l’article 5 du RGPD puisque (i) la conservation des données « n’apparaît pas nécessaire après la communication du résultat à l’utilisateur et son éventuel partage par ce dernier à ses amis », a tout le moins « ces finalités ne sauraient […] justifier une conservation d’une durée de 24 mois » et (ii) en ce qui concerne les statistiques, que « la conservation des réponses au [quizz] après la fin du test n’était pas nécessaire » pour cette finalité dès lors que d’autres outils de mesure d’audience (notamment les cookies) étaient présents.
Plus précisément, la CNIL a indiqué que, selon elle, la conservation des données relatives à la participation de l’utilisateur aux quizz « n’apparaît pas nécessaire après la communication du résultat à l’utilisateur et son éventuel partage » et que, même une « durée de trois mois […] excède la durée nécessaire aux finalités pour lesquelles elles sont traitées ».
La CNIL a également constaté que les données des comptes créés par les utilisateurs étaient anonymisées après 3 ans d’inactivité, mais a considéré que Doctissimo violait l’article 5 du RGPD dès lors que la procédure d’anonymisation des comptes « ne correspondait pas à une anonymisation mais à une simple pseudonymisation » puisqu’il était possible de réidentifier indirectement la personne.
Le manquement à l’obligation de recueillir le consentement des personnes concernées au traitement de catégories particulières de données
La CNIL a constaté que Doctissimo traite des données de santé lorsque les internautes répondent à des « questionnaires ayant pour thème la santé ».
Considérant qu’un tel traitement « ne peut être mis en œuvre que sur la base du consentement explicite de la personne concernée », la CNIL a constaté qu’ « aucun avertissement particulier ni mécanisme de recueil du consentement ne figurait sur les questionnaires » et a considéré que Doctissimo a manqué aux obligations de l’article 9 du RGPD.
Le manquement à l’obligation d’assurer la sécurité des données
La CNIL a constaté que le site internet utilisait (i) le protocole de communication HTTP et (ii) l’algorithme de hachage MD5.
Rappelant les recommandations de l’ANSSI et de la CNIL, cette dernière a considéré (i) que le passage au protocole HTTPS était une « précaution élémentaire » et (ii) que l’algorithme MD5 devait être considéré comme « définitivement cassé », et dont « l’utilisation en cryptographie ou en sécurité est à proscrire ». En conséquence, la CNIL a considéré que Doctissimo avait manqué à l’article 32 du RGPD en méconnaissant les mesures de sécurité élémentaires.
Le manquement aux obligations de la loi « Informatique et Libertés »
La CNIL a constaté que des cookies ayant pour finalité la « publicité ciblée » étaient déposés sur le terminal des internautes « dès [leur] arrivée sur la page d’accueil du site », « avant que leur consentement ne soit recueilli ». De même, certains cookies ayant la même finalité étaient déposés « malgré le refus exprimé par l’utilisateur ».
Rappelant le principe selon lequel, sauf si le cookie permet ou facilite « la communication par voie électronique » ou est « strictement nécessaires à la fourniture d’un service », le dépôt et l’accès aux cookies suppose le consentement de l’internaute, et constatant que le refus du dépôt de cookies était privé d’effet, la CNIL a considéré que Doctissimo a violé l’article 82 de la loi Informatique et Libertés.
Compte tenu de tout ce qui précède, la CNIL, a infligé à Doctissimo (i) une amende de 280 000 euros pour non-respect des articles 5, 9, 26 et 32 du RGPD et (ii) une amende de 100 000 euros pour non-respect de l’article 82 de la loi Informatique et Libertés.
Source : ici