L’essentiel : La CNIL a infligé une amende de 380 000 euros à DOCTISSIMO pour non-respect du RGPD, notamment en matière de consentement pour la collecte de données de santé. La société conservait ces données pendant des durées excessives, allant jusqu’à 24 mois, sans anonymisation pour les comptes inactifs depuis trois ans. De plus, DOCTISSIMO n’avait pas mis en place de mécanisme de recueil du consentement pour ses tests en ligne. La CNIL a également relevé des manquements concernant la sécurité des données et l’utilisation de cookies sans consentement préalable des utilisateurs.

La CNIL a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le consentement des personnes à la collecte et l’utilisation de leurs données de santé, et pour ne pas avoir respecté les règles sur les cookies.

Conserver les données pour une durée limitée

La société conservait les données relatives aux tests réalisés par les internautes pendant 24 mois, puis 3 mois, à compter de leur réalisation. La CNIL considère que ces durées de conservation sont excessives, car elles ne correspondent pas au strict besoin de la société qui collecte les données des tests afin de permettre à l’utilisateur de prendre connaissance des résultats du tests, de les partager ainsi que de réaliser des statistiques agrégées.

Les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient aussi conservées sans, par exemple, de procédure d’anonymisation.

Le consentement des personnes

DOCTISSIMO ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne, afin de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé, considérées comme particulièrement sensibles au regard du RGPD.

Selon la société, la collecte des données de santé concernait environ 5 % des tests.

Encadrer par contrat les traitements effectués

La société DOCTISSIMO met en œuvre des traitements de données personnelles avec d’autres sociétés, liés notamment à la commercialisation des espaces publicitaires sur le site web. Ces relations de responsabilités conjointes n’étaient pas encadrées par un document formalisé, comme un contrat.

Un tel document doit notamment indiquer la répartition des obligations entre chaque responsable de traitement.

La sécurité des données personnelles

La société utilisait jusqu’en octobre 2019 un protocole de communication « http », qui n’est pas sécurisé et exposait alors les données à des risques d’attaques informatiques ou de fuite.

En outre, elle conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, alors qu’ils permettaient d’accéder à l’espace personnel contenant notamment les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée.

L’utilisation des cookies

La CNIL a constaté le dépôt d’un cookie publicitaire sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site, ainsi que le dépôt de deux cookies publicitaires après avoir cliqué sur le bouton « TOUT REFUSER ». Elle considère que l’absence de recueil du consentement a concerné chaque visiteur du site web, soit des centaines de millions d’internautes.

Q/R juridiques soulevées :

Quelle sanction a été prononcée contre DOCTISSIMO par la CNIL ?

La CNIL a infligé une amende de 380 000 euros à la société DOCTISSIMO. Cette sanction a été prononcée en raison de manquements aux obligations du Règlement Général sur la Protection des Données (RGPD). Ces manquements incluent le défaut de recueillir le consentement des utilisateurs pour la collecte et l’utilisation de leurs données de santé, qui sont considérées comme particulièrement sensibles. De plus, DOCTISSIMO n’a pas respecté les règles relatives à l’utilisation des cookies, ce qui a également contribué à la décision de la CNIL.

Quelles sont les durées de conservation des données par DOCTISSIMO ?

DOCTISSIMO conservait les données des utilisateurs relatives aux tests effectués pendant une période de 24 mois, suivie d’une conservation supplémentaire de 3 mois. La CNIL a jugé que ces durées étaient excessives, car elles ne correspondaient pas aux besoins réels de la société. Les données étaient collectées pour permettre aux utilisateurs de consulter leurs résultats, de les partager et de réaliser des statistiques agrégées. De plus, les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient conservées sans aucune procédure d’anonymisation.

Comment DOCTISSIMO a-t-elle manqué à l’obligation de consentement ?

DOCTISSIMO n’a mis en place aucun mécanisme pour recueillir le consentement des utilisateurs concernant le traitement de leurs données de santé. Il n’y avait pas d’avertissement particulier pour informer les utilisateurs de la collecte de leurs données, ce qui est une exigence du RGPD. La société a indiqué que la collecte des données de santé ne concernait qu’environ 5 % des tests, mais cela ne diminue pas l’importance du consentement éclairé des utilisateurs.

Quelles sont les implications de l’absence de contrat pour les traitements de données ?

DOCTISSIMO collaborait avec d’autres sociétés pour le traitement des données personnelles, notamment pour la commercialisation d’espaces publicitaires. Cependant, ces relations n’étaient pas encadrées par un document formalisé, tel qu’un contrat. Un contrat est essentiel pour définir la répartition des obligations entre les différents responsables de traitement, ce qui est crucial pour assurer la conformité avec le RGPD.

Quels problèmes de sécurité des données ont été identifiés chez DOCTISSIMO ?

Jusqu’en octobre 2019, DOCTISSIMO utilisait un protocole de communication « http », qui n’est pas sécurisé. Cela exposait les données des utilisateurs à des risques d’attaques informatiques et de fuites de données. De plus, la société conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, ce qui compromettait la sécurité des informations personnelles, telles que le nom, la date de naissance et l’adresse électronique.

Comment DOCTISSIMO a-t-elle enfreint les règles sur les cookies ?

La CNIL a constaté que DOCTISSIMO déposait des cookies publicitaires sur les terminaux des utilisateurs sans leur consentement, dès leur arrivée sur le site. De plus, deux cookies publicitaires étaient déposés même après que l’utilisateur ait cliqué sur le bouton « TOUT REFUSER ». Cette absence de recueil du consentement a concerné des centaines de millions d’internautes, ce qui constitue une violation significative des règles sur la protection des données.