Dans une délibération du 11 mai 2023, la Commission nationale de l’informatique et des libertés (CNIL) a condamné la société DOCTISSIMO en raison des traitements pratiqués de données de santé sur son site éponyme.
Contexte : Une plainte déposée par l’association Privacy International
En substance, l’association Privacy International, le 26 juin 2020, a déposé une plainte auprès de la CNIL sur le traitement des données personnelles des visiteurs et utilisateurs du site internet www.doctissimo.fr, effectué par la société DOCTISSIMO.
Elle considérait ainsi notamment que les modalités de dépôt des cookies sur le terminal des utilisateurs du site, la base légale des traitements opérés lorsqu’un utilisateur répondait à un test de santé, la transparence et fourniture des informations aux utilisateurs ainsi que la sécurité des données ne répondaient pas aux exigences de la législation sur la protection des données à caractère personnel.
Plusieurs échanges ont eu lieu entre les parties et quatre missions de contrôle ont été organisées.
Ci-dessous un florilège des manquements relevés.
Solution : De nombreux manquements à la législation sur les données personnelles relevés (notamment des données de santé)
1°La nécessité de justifier une durée de conservation des données au regard des finalités de traitement
En premier lieu, la Commission a relevé que le site web proposait des tests et quizz qui impliquaient des données de santé des utilisateurs (ex : sur le cancer du côlon) et leur adresse IP. Elle a à cet égard noté que les réponses des tests et l’adresse IP des utilisateurs étaient conservées pendant 24 mois, motif pris que cela était nécessaire pour que l’utilisateur puisse connaître ses résultats, le cas échéant les partager à des amis et réaliser des statistiques agrégées.
Il a été considéré que ces finalités ne justifiaient pas un tel délai de conservation.
La société DOCTISSIMO indiquait par ailleurs que son sous-traitant anonymisait les données en lien avec les tests et quizz, ce dernier procédant à un hachage des adresses IP via un algorithme spécifique. Ceci étant, il était relevé qu’aucune clé de hachage n’était employée de sorte que l’anonymisation des données n’était en réalité pas assurée.
La CNIL en a profité pour rappeler qu’il incombe au responsable de traitement qui confie une mission de sous-traitance de données à caractère personnel (et a fortiori de données de santé) de veiller, par des diligences raisonnables en fonction de ses compétences et moyens propres, à ce que le respect de la protection des données concernées soit assuré. Sur ce point, elle a considéré que la société DOCTISSIMO avait failli dans sa tâche.
Il a également été noté que la société DOCTISSIMO, qui indiquait avoir anonymisé les données des comptes de membres après 3 ans d’inactivité, ne les avait en réalité que pseudonymisées, ce qui n’était pas conforme aux dispositions sur la conservation des données, prévues au RGPD.
2°Un consentement explicite des utilisateurs nécessaire pour la collecte des données de santé
La CNIL a commencé par préciser que la société DOCTISSIMO traitait bel et bien des données de santé au sens du RGPD (ex : dans le cadre des réponses aux questions du type « où en êtes-vous avec l’alcool ? » ou « manquez-vous de fer ? « ). Or, cela imposait pour la société DOCTISSIMO de recueillir le consentement explicite des utilisateurs en affichant un bordereau avec une case à cocher pour qu’ils connaissent les finalités et la portée du traitement.
3° Une obligation d’assurer la sécurité des données à caractère personnel
La CNIL a noté que la société DOCTISSIMO avait utilisé pendant de nombreuses années un protocole de communication « http », ce qui était insuffisant car susceptible d’exposer les données à des risques d’attaques informatiques ou de fuites.
Elle aurait ainsi dû suivre les recommandations de la CNIL et de l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) pour adopter le protocole HTPPS afin d’assurer la confidentialité des informations échangées et la sécurité des serveurs.
Elle a également relevé que les mots de passe des utilisateurs étaient conservés dans des formats qui n’étaient pas suffisamment sécurisés. En effet, si la Commission a pu préconiser, dans ses recommandations, une méthode de stockage des mots de passe à l’aide d’une fonction de chiffrement non réversible et sûre, la société DOCTISSIMO utilisait en l’espèce une méthode en trois étapes de cryptages des mots de passe qui comportait des failles en termes de sécurité.
4°Un manquement aux réquisitions relatives à l’utilisation des cookies
Des cookies publicitaires étaient déposés sur le terminal de l’utilisateur, sans son approbation, dès lors qu’il arrivait sur le site internet, ce que la CNIL a relevé comme un manquement aux règles applicables en la matière. En effet, « les cookies publicitaires, n’ayant pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique et n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, ne peuvent être déposés ou lus sur le terminal de la personne […] tant qu’elle n’a pas fourni son consentement ».
Il apparaissait en outre que lorsqu’un internaute appuyait sur « TOUT REFUSER », des cookies restaient tout de même stockés sur le terminal de ce dernier, ce qui n’était pas admissible.
Au final, la condamnation s’est portée à un total de 380.000 euros et une publicité de la délibération a été prévue.
En résumé, il est important de confronter ses process pratiques aux exigences légales en matière de protection des données à caractère personnel, à défaut de quoi les conséquences peuvent être lourdes.
Vous vous interrogez sur le respect de vos obligations au titre de la législation sur les données presonnelles, n’hésitez à pas contacter un avocat RGPD du Cabinet.