La Commission nationale de l’informatique et des libertés (CNIL) a infligé une amande de 380 000 euros à Doctissimo pour plusieurs manquements relatifs au RGPD, ainsi qu’aux obligations liées à l’utilisation des cookies.
Quatre manquements au RGPD
Cette décision fait suite à une plainte déposée par l’ONG britannique Privacy International en 2020. Lors de son enquête, l’agence de protection des données française a fait état de quatre manquements distincts au RGPD. En effet, Doctissimo propose sur sa plateforme de nombreux quiz et tests relatifs à la santé, et conservait les données des internautes ayant participé pendant 24 mois, une durée jugée « excessive » par la CNIL.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
En outre, le site « ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne, afin de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé », indique la Commission. Doctissimo est également accusée d’avoir utilisé les données personnelles de ses utilisateurs en collaboration avec d’autres entreprises, principalement pour la vente d’espaces publicitaires sur son site Web. Ces responsabilités partagées n’étaient pas régies par un accord formel tel qu’un contrat.
Jusqu’à octobre 2019, la plateforme utilisait le protocole non sécurisé « http », ce qui rendait les données vulnérables aux attaques informatiques et aux fuites. « De plus, les mots de passe des utilisateurs étaient conservés dans un format insuffisamment sécurisé, ce qui permettait l’accès à des informations personnelles telles que le nom, le prénom, la date de naissance, l’adresse électronique et le sexe de la personne concernée », continue la CNIL dans son communiqué.
ℹ️🔴 La CNIL prononce une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du #RGPD et pour ne pas avoir respecté les règles sur les #cookies 👉 https://t.co/at0x5sVDNg pic.twitter.com/SbCxbsO2Ny
— CNIL (@CNIL) May 17, 2023
Une amende sans conséquence compte tenu du chiffre d’affaires de Reworld Media
En plus de ces négligences au regard du RGPD, la CNIL a constaté le dépôt d’un cookie utilisé à des fins de publicité sur le site dès l’arrivée d’un utilisateur sur celui-ci, ainsi que le dépôt de deux autres même lorsque l’option « Tout refuser » avait été cochée. L’absence de recueil du consentement a concerné chaque visiteur du portail, soit des centaines de millions d’internautes, estime la Commission, ce qui relève d’un manquement à la loi Informatique et Libertés.
Ainsi, Doctissimo écope d’une amende de 280 000 euros au regard des manquements au RGPD, une décision prise en accord avec l’ensemble des homologues européens de la CNIL, ainsi que de 100 000 euros supplémentaires par rapport aux entraves à l’utilisation des cookies. « Afin de déterminer le montant de la sanction, la CNIL a pris en compte la nature et la gravité des manquements, les catégories de données personnelles (données de santé) et le nombre de personnes concernées ainsi que la situation financière de la société », précise l’instance.
Pour rappel, Doctissimo a été racheté par le groupe de presse Reworld Media l’année dernière. Le chiffre d’affaires de ce dernier était de 505,8 millions d’euros en 2022.