La CNIL inflige une amende de 380 000€ à Doctissimo !

Doctissimo, le célèbre site français, consulté par près de 60 millions de visiteurs mensuellement, a été condamné par la CNIL pour plusieurs manquements au RGPD. Données sensibles, cookies, sécurité…. On fait le point sur cette sanction dans cet article ! 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Sommaire :

Une plainte à l’origine des contrôles

C’est à la suite d’une plainte de l’association Privacy International que l’autorité de contrôle de protection des données française à décidé de contrôler Doctissimo, le célèbre site français. 

Un contrôle attendu tant Doctissimo est un site consulté par près de 60 millions de personnes par mois ! Surtout que Doctissimo réalise désormais des tests, permettant ainsi la collecte de données sensibles. 

Les données sensibles sont des données dont le traitement est interdit, sauf exceptions. Pour en savoir plus consultez notre article : Données sensibles RGPD : définition, règle générale & exceptions 

Les faits reprochés et les manquements au RGPD soulevés

Plusieurs faits sont reprochés à Doctissimo, et de nombreux manquements au RGPD sont soulevés. 

Cookies 

Les cookies, l’une des thématiques prioritaires de la CNIL en 2021, sont  encore la cause de (trop) nombreuses sanctions ! 

Les contrôles de la CNIL ont révélé le dépôt de cookies publicitaires sur le terminal des visiteurs de Doctissimo sans que le consentement ait été préalablement recueilli. De plus, quand bien même l’utilisateur refusait le dépôt de cookies, deux cookies publicitaires étaient déposés. 

Un tel comportement est contraire à l’article 82 de la Loi Informatique et Libertés. 

Durées de conservation

Tout traitement réalisé doit comporter une durée de conservation limitée. C’est ce que prévoit l’article 5 du RGPD.

La CNIL a déterminé qu’une durée de conservation de 2 ans et 3 mois pour les données relatives à un test, dont l’utilisateur prend connaissance rapidement après son exécution était excessive.  De plus, les données des utilisateurs inactifs depuis plus de 3 ans étaient conservées, sans procédures d’anonymisation ou de chiffrement. 

Recueil du consentement pour le traitement de données sensibles 

Les données sensibles font l’objet d’une attention particulière au sein du RGPD. Si leur traitement est en principe interdit, il peut être autorité si le consentement de la personne concernée est obtenu, entre autres. 

Le consentement, selon le RGPD, répond de plusieurs conditions, mais surtout d’une condition d’information claire et précise. L’utilisateur doit être informé de l’objet et des conséquences de son consentement.

Surtout lorsqu’il consent au traitement de ses données de santé ! 

Doctissimo ne recueillait pas le consentement, et privait les utilisateurs qui réalisaient les tests sur leur site d’être informés du traitement de leurs données. 

Un manquement à l’article 9 du RGPD.

Sous-traitance

L’article 26 du RGPD oblige les responsables conjoints de traitement à formaliser via un document cette relation, afin de déterminer précisément leurs obligations respectives, ce qui n’était pas le cas pour le site français.

Obligation de sécurité 

Alors que les cyberattaques sont en hausse, Doctissimo, consulté par 60 millions d’utilisateurs mensuellement, n’utilisait pas de protocole de communication sécurisé, conservait les mots de passe des utilisateurs dans un format peu sécurisé. 

On vous l’a souvent répété, mais la sécurité est un pan essentiel de votre conformité RGPD, et la source de nombreuses sanctions de la CNIL ! Consultez la jurisprudence de l’autorité de contrôle sur cette thématique : Article 32 du RGPD : Sécurité du traitement | Tout comprendre 

Résultat : une amende de 380 000€ pour le site français !

La sanction est tombée : Doctissimo écope d’une amende de 380 000€ pour les différents manquements cités. 

La CNIL énonce que Doctissimo a, depuis la procédure, pris des mesures pour être en conformité.

Le RGPD concerne tous les organismes, et de toutes les tailles. Chaque année, près de 12 000 plaintes sont déposées auprès de la CNIL. N’attendez pas la sanction : organisez votre mise en conformité grâce à Mon Expert du Droit. Consultez notre guide complet

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €