La CNIL a retenu quatre manquements au RGPD (Règlement général de protection des données) et un manquement à la loi Informatique et Libertés à l’encontre de la société DOCTISSIMO :
- Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)
La CNIL considère que la conservation pendant 24 mois des données relatives aux tests réalisés par les internautes est excessive. Il en va de même pour les données des utilisateurs dont le compte était inactif depuis plus de trois ans conservées sans procédure d’anonymisation.
- Un manquement à l’obligation de recueillir le consentement des personnes pour collecter leurs données de santé (article 9 du RGPD)
DOCTISSIMO ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne, afin de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé, considérées comme particulièrement sensibles au regard du RGPD.
- Un manquement à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement (article 26 du RGPD)
La société DOCTISSIMO met en œuvre des traitements de données personnelles avec d’autres sociétés, liés notamment à la commercialisation des espaces publicitaires sur le site web. Ces relations de responsabilités conjointes n’étaient pas encadrées par un contrat indiquant la répartition des obligations entre chaque responsable de traitement.
- Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
La société utilisait jusqu’en octobre 2019 un protocole de communication « http » et non « https », qui n’était donc pas sécurisé et exposait alors les données à des risques d’attaques informatiques ou de fuite. Il en était de même pour la conservation des mots de passe des utilisateurs alors qu’ils permettaient d’accéder à l’espace personnel contenant notamment les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée.
- Un manquement aux obligations liées à l’utilisation des cookies (article 82 de la Loi Informatique et Libertés)
La CNIL a constaté le dépôt d’un cookie publicitaire sur le terminal de l’utilisateur sans son consentement ainsi que le dépôt de deux cookies publicitaires après avoir cliqué sur le bouton « TOUT REFUSER » ainsi qu’une absence de recueil du consentement des visiteurs.
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047552103
Afin de marquer les esprits et inciter les entreprises de grande envergure à changer leurs pratiques la CNIL sanctionne les pratiques non respectueuses du RGPD d’une amende significative.
Me DESCOURS, Associée du cabinet ATP AVOCATS, peut vous accompagner pour mettre en oeuvre la politique de protection des données adéquate en matière de santé.
