La CNIL inflige une amende de 380 000€ à Doctissimo !

Une plainte à l’origine des contrôles

C’est à la suite d’une plainte de l’association Privacy International que l’autorité de contrôle de protection des données française à décidé de contrôler Doctissimo, le célèbre site français. 

Un contrôle attendu tant Doctissimo est un site consulté par près de 60 millions de personnes par mois ! Surtout que Doctissimo réalise désormais des tests, permettant ainsi la collecte de données sensibles. 

Les faits reprochés et les manquements au RGPD soulevés

Plusieurs faits sont reprochés à Doctissimo, et de nombreux manquements au RGPD sont soulevés. 

Cookies 

Les cookies, l’une des thématiques prioritaires de la CNIL en 2021, sont  encore la cause de (trop) nombreuses sanctions ! 

Les contrôles de la CNIL ont révélé le dépôt de cookies publicitaires sur le terminal des visiteurs de Doctissimo sans que le consentement ait été préalablement recueilli. De plus, quand bien même l’utilisateur refusait le dépôt de cookies, deux cookies publicitaires étaient déposés. 

Un tel comportement est contraire à l’article 82 de la Loi Informatique et Libertés. 

Durées de conservation

Tout traitement réalisé doit comporter une durée de conservation limitée. C’est ce que prévoit l’article 5 du RGPD.

La CNIL a déterminé qu’une durée de conservation de 2 ans et 3 mois pour les données relatives à un test, dont l’utilisateur prend connaissance rapidement après son exécution était excessive.  De plus, les données des utilisateurs inactifs depuis plus de 3 ans étaient conservées, sans procédures d’anonymisation ou de chiffrement. 

Recueil du consentement pour le traitement de données sensibles 

Les données sensibles font l’objet d’une attention particulière au sein du RGPD. Si leur traitement est en principe interdit, il peut être autorité si le consentement de la personne concernée est obtenu, entre autres. 

Le consentement, selon le RGPD, répond de plusieurs conditions, mais surtout d’une condition d’information claire et précise. L’utilisateur doit être informé de l’objet et des conséquences de son consentement.

Doctissimo ne recueillait pas le consentement, et privait les utilisateurs qui réalisaient les tests sur leur site d’être informés du traitement de leurs données. 

Un manquement à l’article 9 du RGPD.

Sous-traitance

L’article 26 du RGPD oblige les responsables conjoints de traitement à formaliser via un document cette relation, afin de déterminer précisément leurs obligations respectives, ce qui n’était pas le cas pour le site français.

Obligation de sécurité 

Alors que les cyberattaques sont en hausse, Doctissimo, consulté par 60 millions d’utilisateurs mensuellement, n’utilisait pas de protocole de communication sécurisé, conservait les mots de passe des utilisateurs dans un format peu sécurisé. 

Résultat : une amende de 380 000€ pour le site français !

La sanction est tombée : Doctissimo écope d’une amende de 380 000€ pour les différents manquements cités. 

La CNIL énonce que Doctissimo a, depuis la procédure, pris des mesures pour être en conformité.