Les actualités

RETOUR

Publications

26/05/2023

La CNIL sanctionne DOCTISSIMO à hauteur de 380 000 euros

Par délibération du 11 mai 2023, la CNIL a sanctionné la société DOCTISSIMO pour divers manquements au RGPD ainsi qu’à la loi informatique et libertés à 380 000 euros d’amende.

En l’espèce la société DOCTISSIMO, qui édite un site internet en lien avec la santé et le bien-être a fait l’objet d’une investigation de la CNIL suite à une plainte déposée par l’association Privacy International.

Dans cette délibération du 11 mai 2023, la formation restreinte de la CNIL retient que :

Sur le manquement à l’obligation de conserver les données à caractère personnel pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Aux termes de l’article 5-1-e) du RGPD, les données à caractère personnel doivent être » conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.”

En l’espèce, le site propose des tests et des questionnaires mis en œuvre et hébergés par un sous-traitant. Le sous-traitant conserve les réponses issues des tests effectués par l’ensemble des utilisateurs ainsi que l’adresse IP de ces derniers pendant 24 mois à compter de leur réalisation.

Les finalités invoquées par la société pour la conservation de ces données sont l’élaboration de statistiques agrégées ainsi que la transmission des résultats du test à l’utilisateur.

La formation restreinte considère d’une part que les résultats du test s’affichent immédiatement après qu’il ait été rempli par l’utilisateur. Dès lors, la conservation des réponses de l’utilisateur au questionnaire ainsi que de son adresse IP n’est pas nécessaire à la communication du résultat à l’utilisateur.

D’autre part, elle constate que les statistiques agrégées ne sont pas réalisées à l’aide des réponses aux questionnaires, mais grâce aux cookies déposés sur le terminal de l’utilisateur ainsi que leur adresse IP. Dès lors, la conservation des réponses aux questionnaires après la fin du test n’est pas nécessaire à la réalisation des statistiques agrégées.

En dernier lieu, la formation restreinte constate que les données des utilisateurs dont le compte est inactif depuis plus de 3 ans sont conservées sans procédures d’anonymisation.

Sur le manquement à l’obligation de recueillir le consentement des personnes concernées.

La formation restreinte relève d’abord que la société ne recueille pas le consentement des utilisateurs pour l’utilisation de leurs données « particulières” puisqu’une simple mention renvoyant vers la politique de protection des données personnelles figurait en dessous du test.

Dès lors que la société dispose d’information sur les antécédents médicaux des personnes ayant répondu aux tests, la société traite des données de santé au sens de l’article 4-15 du RGPD. Or, en application de l’article 9 du RGPD, le traitement de ces données ne peut s’effectuer que sur la base du consentement explicite de la personne concernée.

La formation restreinte considère que les faits précités constituent un manquement aux obligations de l’article 9 du RGPD puisque la société a traité des données de santé sans le consentement des personnes concernées.

Sur le manquement à l’obligation d’information des personnes

L’article 13 du RGPD précise les informations qui doivent être communiquées à la personne concernée au moment de la collecte de ses données.

Le rapport transmis à la CNIL souligne que le site web www.doctissimo.fr ne précisait pas la base juridique pour les traitements mis en œuvre. De plus, aucune mention n’indiquait si la fourniture d’une information était obligatoire en ce qu’elle avait un caractère réglementaire ou contractuel ou si elle conditionnait la conclusion d’un contrat et si la personne concernée était tenue de fournir les données à caractère personnel concernées.

La formation restreinte a cependant décidé de ne pas retenir un manquement à l’article 13 du RGPD dès lors que la » Politique de protection des données » accessible depuis le site web www.doctissimo.fr, contenait les informations sur la base juridique appliquée pour les traitements mis en œuvre.

Sur le manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués conjointement avec un autre responsable de traitement

L’article 26 du RGPD dispose que « les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement ».

En l’espèce, la société DOCTISSIMO se considère responsable conjoint pour les traitements en question. Or, le rapporteur relève qu’aucun contrat conclu entre la société et ses deux sous-traitants ne contenait de disposition relative à la définition des obligations respectives des parties en application de l’article 26 du RGPD (Responsable conjoint).

Sur le manquement à l’obligation d’assurer la sécurité des données à caractère personnel en application

Au titre de l’article 32 du RGPD, le responsable du traitement et le sous-traitant doivent assurer la sécurité des données qu’ils traitent.

En l’espèce, la société DOCTISSIMO utilisait jusqu’en octobre 2019 un protocole de communication « http » non sécurisé et exposait alors les données à des risques d’attaques informatiques ou de fuite. De plus, elle conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, alors qu’ils permettaient d’accéder à l’espace personnel contenant notamment le nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée.

Sur le manquement aux obligations de l’article 82 de la loi Informatique et Libertés

L’article 82 de loi Informatique et Libertés prévoit expressément que le dépôt de cookies dans le terminal d’un utilisateur ne peut avoir lieu qu’après que ce dernier ait exprimé son consentement.

Le rapporteur relève d’abord que des cookies sont déposés sur le terminal de l’utilisateur lorsqu’il accède au site sans consentement. La société invoque en défense que ces cookies ont une double finalité, technique et publicitaire et qu’à compter du 29 août 2022, aucun cookie autre que strictement technique ne sera déposé sur le terminal des utilisateurs sans que leur consentement ne soit recueilli.

Cependant, en permettant le dépôt de cookies publicitaires sur le terminal des utilisateurs sans recueillir leur consentement, la société a violé l’article 82 de la loi Informatique

Pour l’ensemble de ces manquements, la formation restreinte prononce une amende de 380 000 euros à l’encontre de la société DOCTISSIMO.

Pour en savoir plus :

– La délibération de la CNIL en date du 11 mai 2023

Associé

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

La CNIL sanctionne DOCTISSIMO à hauteur de 380 000 euros

L'ÉQUIPE

Nicolas Moreau

JoséphineLenglart Frémont

GuylaineLombard

Benjamin Mourot

ElodieCourbo

LucasDallongeville

FrédériqueAllier

AdrienMorisse

Juliette Goutorbe

Elise Dufour

Nicolas
Moreau

Joséphine
Lenglart Frémont

Guylaine
Lombard

Benjamin
Mourot

Elodie
Courbo

Lucas
Dallongeville

Frédérique
Allier

Adrien
Morisse

Juliette
Goutorbe

Elise
Dufour