Sanction de la CNIL contre Doctissimo : une amende exemplaire pour la protection des données personnelles

Délibération SAN-2023-006 du 11 mai 2023 concernant la société DOCTISSIMO

La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment pris une décision importante en infligeant une amende totale de 380 000 euros à la société Doctissimo. Cette décision, rendue publique le 17 mai 2023, met en lumière des manquements graves en matière de protection des données personnelles, particulièrement dans le domaine sensible de la santé.

Contexte et enquête

L'enquête de la CNIL a révélé plusieurs infractions aux règlements en vigueur. En particulier, Doctissimo a été reconnu coupable de violations des articles 5-1-e) et 9-2 du Règlement Général sur la Protection des Données (RGPD) ainsi que de l'article 82 de la loi Informatique et Libertés. Ces infractions concernent la conservation des données de santé, la sécurité des données personnelles et l'utilisation des cookies sans le consentement préalable des utilisateurs.

Conservation des données de santé

La CNIL a constaté que Doctissimo conservait des données de santé des utilisateurs bien au-delà de la période nécessaire. Cette conservation excessive, couplée à l'absence de mesures adéquates de sécurisation, a exposé ces données sensibles à des risques importants. L'article 5-1-e) du RGPD dispose clairement que les données personnelles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées​​.

Sécurité des données personnelles

Un autre manquement majeur concerne l'article 32 du RGPD, relatif à la sécurité des données. Doctissimo n'a pas mis en place les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Les mots de passe des utilisateurs, par exemple, étaient stockés de manière insufissament sécurisée, utilisant un procédé obsolète. Cette négligence a augmenté les risques de compromission des données personnelles des utilisateurs​​.

Utilisation des cookies

En ce qui concerne l'article 82 de la loi Informatique et Libertés, Doctissimo a été sanctionné pour avoir déposé des cookies sur les terminaux des utilisateurs sans leur consentement préalable. Cette pratique a touché des millions de visiteurs du site doctissimo.fr, privant ces derniers de leur droit à choisir librement le dépôt de traceurs sur leurs équipements terminaux. La CNIL a relevé que malgré les mesures correctrices mises en place après la notification du rapport de sanction, la société ne pouvait pas être exonérée de sa responsabilité pour les infractions commises dans le passé​.

Amende et publication de la décision

Compte tenu de la gravité des manquements constatés et du nombre de personnes concernées, la formation restreinte de la CNIL a décidé de rendre publique sa décision. L'amende administrative de 380 000 euros se décompose comme suit : 280 000 euros pour les violations du RGPD et 100 000 euros pour la violation de la loi Informatique et Libertés. Cette mesure a un effet dissuasif et pédagogique, visant à sensibiliser l'ensemble des acteurs du numérique à l'importance de la conformité aux régulations de protection des données​.

Répercussions pour Doctissimo

La société Doctissimo, bien qu'ayant mis en place des mesures de mise en conformité après la notification du rapport, devra désormais renforcer ses pratiques de protection des données pour éviter de futures sanctions. La publication de cette décision sert d'exemple pour d'autres entreprises opérant dans le secteur de la santé numérique, soulignant l'importance cruciale de la sécurité et de la confidentialité des données personnelles.

Conclusion

Cette décision de la CNIL illustre la vigilance accrue des autorités de contrôle en matière de protection des données personnelles. Elle rappelle aux entreprises l'obligation de respecter strictement les régulations en vigueur, sous peine de sanctions sévères. Pour les utilisateurs, elle renforce la confiance dans les mécanismes de protection de leurs données personnelles, particulièrement dans des secteurs aussi sensibles que celui de la santé.

La mise en lumière des infractions commises par Doctissimo et les sanctions qui en découlent montrent que la protection des données personnelles n'est pas seulement une exigence réglementaire, mais aussi un enjeu éthique majeur dans l'ère numérique actuelle.