La Commission national de l’informatique et des libertés a constaté plusieurs manquements au Règlement général sur la protection des données personnelles (RGPD) et à la loi Informatique et Libertés.
La plateforme dédiée à la santé et au bien-être Doctissimo.fr va se faire quelques cheveux blancs. Elle a été condamnée par la CNIL, mercredi 17 mai, à une amende de 380 000 euros. Condamnation qui fait suite à une plainte déposée en 2020 par l’association britannique Privacy International.
Plusieurs manquements au RGPD
La plateforme devra s’acquitter d’une première amende de 280 000 euros pour plusieurs manquements au RGPD. L’enquête du gendarme français des données personnelles a révélé que l’entreprise a conservé les données personnelles d'utilisateurs relatives au « quizz » pendant 24 mois. Des durées que la CNIL juge « excessives » au regard du RGPD. « Les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient aussi conservées sans, par exemple, de procédure d’anonymisation. », ajoute l’autorité administrative.
La CNIL reproche également à Doctissimo d’avoir omis de recueillir le consentement des utilisateurs pour la collecte de leurs données de santé sur ses tests en ligne. La plateforme s’est également vu reprocher l’absence de contrat ou de document formalisés entre elle et ses prestataires chargés du traitement des données personnelles. A aussi été relevée l’utilisation d’un protocole non sécurisé « http » pouvant potentiellement exposer les données personnelles de ses utilisateurs. « Elle (Doctissimo ndlr) conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, alors qu’ils permettaient d’accéder à l’espace personnel contenant notamment les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée. », a également relevé l’autorité.
3 cookies à 100 000 euros
Une seconde amende de 100 000 euros a été infligée cette fois pour une infraction relative à l’utilisation des cookies, en violation de la Loi Informatique et Libertés. L’enquête de la CNIL a relevé le dépôt d’un cookie publicitaire sur le terminal d’un utilisateur sans son consentement dès son arrivée sur le site, ainsi que l'affichage de deux autres cookies publicitaires après avoir cliqué sur le bouton « tout refuser ». La sanction peut paraitre un brin excessive pour trois petits cookies. La Cnil a en fait considéré que l’absence de recueil de consentement a concerné les centaines de millions d’utilisateurs de la plateforme.