La CNIL a infligé une amende de 380 000 euros à DOCTISSIMO pour non-respect du RGPD, notamment en matière de consentement pour la collecte de données de santé. La société conservait ces données pendant des durées excessives, allant jusqu’à 24 mois, sans anonymisation pour les comptes inactifs depuis trois ans. De plus, DOCTISSIMO n’avait pas mis en place de mécanisme de recueil du consentement pour ses tests en ligne. La CNIL a également relevé des manquements concernant la sécurité des données et l’utilisation de cookies sans consentement préalable des utilisateurs.. Consulter la source documentaire.

Quelle sanction a été prononcée contre DOCTISSIMO par la CNIL ?

La CNIL a infligé une amende de 380 000 euros à la société DOCTISSIMO. Cette sanction a été prononcée en raison de manquements aux obligations du Règlement Général sur la Protection des Données (RGPD).

Ces manquements incluent le défaut de recueillir le consentement des utilisateurs pour la collecte et l’utilisation de leurs données de santé, qui sont considérées comme particulièrement sensibles.

De plus, DOCTISSIMO n’a pas respecté les règles relatives à l’utilisation des cookies, ce qui a également contribué à la décision de la CNIL.

Quelles sont les durées de conservation des données par DOCTISSIMO ?

DOCTISSIMO conservait les données des utilisateurs relatives aux tests effectués pendant une période de 24 mois, suivie d’une conservation supplémentaire de 3 mois.

La CNIL a jugé que ces durées étaient excessives, car elles ne correspondaient pas aux besoins réels de la société.

Les données étaient collectées pour permettre aux utilisateurs de consulter leurs résultats, de les partager et de réaliser des statistiques agrégées.

De plus, les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient conservées sans aucune procédure d’anonymisation.

Comment DOCTISSIMO a-t-elle manqué à l’obligation de consentement ?

DOCTISSIMO n’a mis en place aucun mécanisme pour recueillir le consentement des utilisateurs concernant le traitement de leurs données de santé.

Il n’y avait pas d’avertissement particulier pour informer les utilisateurs de la collecte de leurs données, ce qui est une exigence du RGPD.

La société a indiqué que la collecte des données de santé ne concernait qu’environ 5 % des tests, mais cela ne diminue pas l’importance du consentement éclairé des utilisateurs.

Quelles sont les implications de l’absence de contrat pour les traitements de données ?

DOCTISSIMO collaborait avec d’autres sociétés pour le traitement des données personnelles, notamment pour la commercialisation d’espaces publicitaires.

Cependant, ces relations n’étaient pas encadrées par un document formalisé, tel qu’un contrat.

Un contrat est essentiel pour définir la répartition des obligations entre les différents responsables de traitement, ce qui est crucial pour assurer la conformité avec le RGPD.

Quels problèmes de sécurité des données ont été identifiés chez DOCTISSIMO ?

Jusqu’en octobre 2019, DOCTISSIMO utilisait un protocole de communication « http », qui n’est pas sécurisé.

Cela exposait les données des utilisateurs à des risques d’attaques informatiques et de fuites de données.

De plus, la société conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, ce qui compromettait la sécurité des informations personnelles, telles que le nom, la date de naissance et l’adresse électronique.

Comment DOCTISSIMO a-t-elle enfreint les règles sur les cookies ?

La CNIL a constaté que DOCTISSIMO déposait des cookies publicitaires sur les terminaux des utilisateurs sans leur consentement, dès leur arrivée sur le site.

De plus, deux cookies publicitaires étaient déposés même après que l’utilisateur ait cliqué sur le bouton « TOUT REFUSER ».

Cette absence de recueil du consentement a concerné des centaines de millions d’internautes, ce qui constitue une violation significative des règles sur la protection des données.