Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Doctissimo, 11 mai 2023

Résumé des faits

Des contrôles ont été réalisés par la CNIL auprès de la société Doctissimo à la suite d’une plainte de l’association Privacy International. Plusieurs manquements ont été constatés, notamment aux règles sur le consentement, la durée de conservation, la sécurisation des données, et les cookies.

La société Doctissimo a ainsi été sanctionnée de 2 amendes publiques d’un montant total de 380 000 euros : une amende de 280 000 euros prononcée en coopération avec l’ensemble des homologues européens de la CNIL dans le cadre du guichet unique et une amende de 100 000 euros pour non-respect des règles sur les cookies.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 5.1.e du RGPD

Conservation des données pour une durée excessive, non limitée à l’objectif recherché

  • Non-respect de l’art. 9 du RGPD

Aucun mécanisme de recueil du consentement pour les tests en ligne

  • Non-respect de l’art. 26 du RGPD

Absence d’encadrement des relations de responsabilités conjointes dans un document formalisé

  • Non-respect de l’art. 32 du RGPD

Utilisation d’un protocole de communication non sécurisé
Conservation des mots de passe dans un format pas suffisamment sécurisé

  • Non-respect de l’art. 82 du RGPD

Dépôt de cookies publicitaires sans recueil préalable du consentement

Que retenir de la décision ?

  • La durée de conservation des données personnelles doit être définie en tenant compte de la finalité poursuivie par le traitement, les données devant en principe être supprimées ou anonymisées une fois cette durée atteinte.
  • Le responsable de traitement est tenu de veiller, par des diligences raisonnables, à ce que le sous-traitant auquel il fait appel respecte les règles sur la protection des données personnelles, le caractère suffisant de ces diligences s’appréciant au regard notamment des compétences et des moyens du responsable de traitement.
  • La responsabilité du responsable de traitement est tenue en l’absence de contrôle régulier de la mise en œuvre de mesures techniques et organisationnelles par le sous-traitant, un simple engagement contractuel n’étant pas suffisant.
  • La pseudonymisation des données personnelles est une opération réversible, étant possible de retrouver l’identité d’une personne en disposant d’informations supplémentaires.
  • Le recours à la fonction SHA256 sans clé de hachage associée ne permet pas une anonymisation des données personnelles, cette fonction constituant une solution de pseudonymisation en ce que la connaissance des paramètres du hachage (et vu le nombre connu et limité des adresses IP) permet de retrouver par force brute et dans un délai raisonnable l’adresse IP des personnes concernées.
  • Lorsqu’un service implique le traitement de données de santé, les utilisateurs doivent avoir pleinement conscience que leurs données de santé seront traitées et conservées par le responsable de traitement via une information explicite lors du recueil du consentement.
  • Les relations de responsabilités conjointes doivent être encadrées par un document formalisé indiquant notamment la répartition des obligations entre chaque responsable de traitement.
  • Le responsable de traitement est tenu de prendre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.
  • La survenance d’une violation de données n’est pas nécessaire à la caractérisation d’un manquement à la règlementation.
  • Le protocole « HTTP » ne permet ni l’authentification du site web, ni le chiffrement des données lors de leur transmission. Il ne garantit donc pas l’authenticité du site consulté, et n’assure pas l’intégrité et la confidentialité des données échangées.
  • La conservation des mots de passe de manière sécurisée constitue une précaution élémentaire dans le cadre de la protection des données personnelles.
  • Bien que les recommandations de l’ANSSI et de la CNIL n’ont pas un caractère impératif, elles fournissent des précautions importantes en matière de sécurité correspondant à l’état de l’art.
  • Les mots de passe doivent être stockés sous une forme transformée par une fonction cryptographique à sens unique et lente à calculer, et la transformation des mots de passe doit faire intervenir un sel aléatoire pour empêcher une attaque par table précalculées.
  • Les cookies publicitaires ne peuvent être déposés qu’après que l’utilisateur a donné son consentement.
  • L’éditeur d’un site qui permet le dépôt de cookies tiers lors de la visite de son site doit vérifier auprès de ses partenaires que l’ensemble des dispositions légales sont respectées.

Le + DLD

  • Pour déterminer le montant de la sanction, la CNIL prend en compte la nature et la gravité des manquements, les catégories de données personnelles, le nombre de personnes concernées, la situation financière de la société ainsi que l’attitude adoptée par la société au vu du caractère sensible des données.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements et du nombre des personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi