Juridique

RGPD : Doctissimo sanctionné par une amende de 380K€

RGPD : Doctissimo sanctionné par une amende de 380K€
Le site Doctissimo a multiplié les manquements au RGPD notamment sur des quizz en ligne. (Crédit Photo: DR)

Faisant suite à une plainte déposée par l'association Privacy International en 2020, la Cnil vient de sanctionner le site d'informations médicales Doctissimo pour plusieurs manquements au RGPD et à la loi informatique et libertés de 1978. A la clef, une amende salée.

PublicitéLe diagnostic est sans appel et l'ordonnance salée pour Doctissimo qui écope d'une sanction financière de 380 000 euros de la part de la Cnil. Rappelons que le portail d'informations médicales était détenu par TF1 avant d'être racheté par Reworld Media en juin 2022. Les faits reprochés par le régulateur remontent à l'été 2020, à la suite d'une plainte déposée par l'association Privacy International. Celle-ci soulevait plusieurs infractions liées au traitement des données personnelles au titre du RGPD. La CNIL a enquêté et s'est constitué en guichet unique auprès des autres régulateurs européens, eux aussi concernés par l'affaire.

Dans le viseur de la Commission, il y a tout d'abord les quizz disponibles sur le site portant sur différents sujets : cancer du côlon, endométriose, etc. La Cnil épingle ces tests pour plusieurs raisons. La durée de conservation des données de 24 mois est jugée excessive et non justifiée. Par ailleurs, l'anonymisation demandée par Doctissimo à son sous-traitant hébergeant les tests n'est pas effective. En effet, le prestataire a mis en place un système de hachage des adresses IP en SHA 256, sans clé de hachage, ce qui au regard de la Cnil ne constitue pas un moyen d'anonymisation. Toujours sur la conservation des données, la formation restreinte a constaté que Doctissimo gardait les informations, sans anonymisation, des comptes utilisateurs inactifs depuis 3 ans. Enfin, le site n'avait pas mis en place de mécanisme de recueil du consentement sur ces tests « afin de s'assurer que l'utilisateur avait conscience et consentait au traitement de ses données de santé, considérées comme particulièrement sensibles ».

Des cookies sans consentement et une sécurité obsolète

Cette problématique du consentement revient sur la politique des cookies de Doctissimo. Lors de son enquête, la Cnil a constaté que « deux cookies étaient déposés sur son terminal dès son arrivée sur la page d'accueil du site web » sans avoir la possibilité de les refuser. Le régulateur rappelle sa position et sa politique relative aux cookies en laissant une période transitoire aux entreprises jusqu'au 1er avril 2021 pour installer des boutons « Refuser » ou « Continuer sans accepter ».

Enfin, les moyens de sécurité des données personnelles sont jugés trop faibles. La navigation en HTTP et non en HTTPS est taclée par le régulateur, qui rappelle qu'il ne s'agit pas d'une obligation, mais d'une bonne pratique. Il précise néanmoins qu'au regard des données sensibles gérées par le site d'informations médicales, celui-ci devait adopter HTTPS. De même, la formation restreinte observe que la sécurisation du stockage des mots de passe est désuète en s'appuyant sur l'algorithme de hachage MD5. Ce dernier « n'est plus considéré comme à l'état de l'art depuis 2004 et son utilisation en cryptographie ou en sécurité est proscrite ».

PublicitéSubséquemment, la Cnil inflige une amende de 380 000 euros à Doctissimo. La sanction se décompose en 280 000 euros au titre des manquements aux articles 5-1-e), 9-2, 26 et 32 du RGPD, ainsi que 100 000 euros pour les manquements à l'article 82 de la loi Informatique et Libertés.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Avez-vous des équipes UX qui travaillent sur vos applications à usage interne ?