Sécurité des données

Doctissimo épinglé par la CNIL

Par

Publié le 19/05/2023

Doctissimo a été condamné à une sanction financière de 380 000 euros de la part de la CNIL. Le site d'information médicale a été épinglé pour plusieurs manquements au règlement général sur la protection des données (RGPD), et pour une infraction relative à l’utilisation des cookies.

Les faits reprochés par la CNIL remontent à l’été 2020, suite à une plainte déposée par l’association Privacy International, concernant plusieurs infractions liées au traitement des données personnelles au titre du RGPD. La CNIL a alors enquêté et a livré ses conclusions le 17 mai, condamnant Doctissimo à une amende de 280 000 euros au regard des manquements au règlement général sur la protection des données (RGPD) et une amende de 100 000 euros concernant le manquement relatif à l’utilisation des cookies.

« Au vu de sa nature et de son secteur d’activité, c’est-à-dire la diffusion de contenus numériques relatifs à la santé, la société aurait dû faire preuve d’une vigilance particulière quant au recueil du consentement des personnes pour collecter leurs données de santé », affirme l'organisme, qui a pris en compte la nature et la gravité des manquements, les catégories de données personnelles (données de santé), le nombre de personnes concernées ainsi que la situation financière de la société.

La CNIL a considéré que les données relatives aux tests et quiz réalisés sur le site étaient conservées trop longtemps, initialement pendant 24 mois. En plus de cette durée jugée « excessive et non justifiée », l'anonymisation des tests n'avait pas été garantie, avec l'utilisation d'un protocole de communication non chiffré, et une conservation des mots de passe dans un format insuffisamment sécurisé. De plus, le site n’avait pas mis en place de mécanisme de recueil du consentement des données de santé issues d'environ 5 % de ces tests, alors que ces informations sont considérées comme étant « particulièrement sensibles au regard du RGPD ».

La CNIL a aussi remarqué que Doctissimo gardait les informations des comptes utilisateurs inactifs depuis 3 ans, sans anonymisation de ces dernières.

Enfin, au regard de la loi française sur le dépôt de traceurs numériques, la CNIL a constaté le dépôt d'un cookie utilisé à des fins de publicité sur le terminal dès l'arrivée d'un utilisateur sur Doctissimo et le dépôt de deux autres, même en cas de refus de la part de l'utilisateur. Une absence de recueil du consentement a concerné chaque visiteur du site, « soit des centaines de millions d'internautes ».

Avec l'AFP.