Une amende de 380 000 euros
Le site d'information spécialisé dans le domaine de la santé n'a pas assuré une protection adéquate des données personnelles de ses visiteurs.
De plus, ces informations ont été collectées sans le consentement des personnes concernées. En conséquence, la Cnil a infligé une amende de 380 000 euros.
De plus, ces informations ont été collectées sans le consentement des personnes concernées. En conséquence, la Cnil a infligé une amende de 380 000 euros.
"Lors de ses investigations, la Cnil a relevé plusieurs manquements, notamment concernant les durées de conservation des données, la collecte de données de santé via des tests en ligne, la sécurisation des données ainsi que les modalités de dépôt des cookies sur le terminal des utilisateurs" explique la Cnil.
Tests de santé et données sensibles
La condamnation dont il est question fait suite à une plainte déposée en 2020 par l'ONG Privacy International. Cette plainte accusait le site de collecter des données personnelles de manière illégale en violation du RGPD, le règlement européen en matière de protection des données.
Les inquiétudes ont été vérifiées suite à l'enquête de la Cnil, qui constate que les données liées aux tests effectués par les utilisateurs sont conservées pendant une durée excessive.
De plus, aucune procédure d'anonymisation des informations n'est mise en place, bien que leur nature puisse être particulièrement sensible étant donné les sujets abordés sur Doctissimo.
"Si vous répondez à un test sur la dépression ou consultez des informations sur la grossesse, ces données vont pouvoir être centralisées par ces partenaires via leurs trackers afin de construire un profil détaillé qui va être vendu à des éditeurs et permettre d’envoyer des publicités, mais potentiellement finir ailleurs, dans des agences de notation de crédit par exemple" expliquait alors l'ONG.
Les inquiétudes ont été vérifiées suite à l'enquête de la Cnil, qui constate que les données liées aux tests effectués par les utilisateurs sont conservées pendant une durée excessive.
De plus, aucune procédure d'anonymisation des informations n'est mise en place, bien que leur nature puisse être particulièrement sensible étant donné les sujets abordés sur Doctissimo.
Collecte de manière illégale
La Cnil souligne que la collecte de données personnelles de santé était réalisée de manière illégale, sans le consentement de l'internaute.
De plus, la Commission constate qu'il n'y avait aucun accord contractuel encadrant la communication de ces informations à des tiers, qui pouvaient les exploiter à des fins publicitaires.
Enfin, la Cnil remarque que la conservation de ces données n'était pas sécurisée jusqu'en 2019, y compris en ce qui concerne les mots de passe des utilisateurs possédant un compte sur Doctissimo.
De plus, la Commission constate qu'il n'y avait aucun accord contractuel encadrant la communication de ces informations à des tiers, qui pouvaient les exploiter à des fins publicitaires.
Enfin, la Cnil remarque que la conservation de ces données n'était pas sécurisée jusqu'en 2019, y compris en ce qui concerne les mots de passe des utilisateurs possédant un compte sur Doctissimo.
ℹ️🔴 La CNIL prononce une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du #RGPD et pour ne pas avoir respecté les règles sur les #cookies 👉 https://t.co/at0x5sVDNg pic.twitter.com/SbCxbsO2Ny
— CNIL (@CNIL) May 17, 2023
L'odj avec BFMTV