Par une délibération du 11 mai 2023, la CNIL a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le consentement des personnes à la collecte et l’utilisation de leurs données de santé, et pour ne pas avoir respecté les règles sur les cookies.
A noter que l’amende a été prise en coopération avec l’ensemble de ses homologues européens compte tenu du fait que le site web de la société a des utilisateurs dans toute l’Europe.
Au titre des manquements reprochés, la CNIL a en effet relevé que :
- les durées de conservation des données issues des tests réalisés en ligne par les internautes, susceptibles de comprendre des données en lien avec la santé, étaient excessives compte tenu du strict besoin de la société pour les exploiter et en livrer les résultats ;
- aucun avertissement particulier, ni mécanisme de recueil du consentement sur les tests en ligne, alors même qu’ils collectaient des données de santé considérées comme particulièrement sensibles au regard du RGPD, n’était mis en place ;
- la relation contractuelle avec les responsables conjoints de traitement des données n’était pas formalisée dans un document autonome alors même ce document est exigé pour répartir les obligations de chacun ;
- la sécurisation des données traitées et des mots de passe des utilisateurs était défaillante.
A titre « accessoire », la CNIL a également relevé des manquements de la société à ses obligations liées à l’utilisation des cookies.
Parce que les données de santé sont des données personnelles particulières, considérées comme sensibles, elles font à ce titre l’objet d’une protection particulière par le RGPD, mais aussi par la Loi Informatique et Libertés et le Code de la santé publique, ceci de garantir le respect de la vie privée des personnes. Aussi, la présente sanction n’est donc pas surprenante.
Le rapport annuel d’activité de la CNIL pour 2022 récemment publié montre d’ailleurs toute l’attention particulière que la Commission apporte au traitement de ce type de données personnelles.
Consultez ici l’intégralité des documents : Délibération de la formation restreinte n° SAN-2023-006 du 11 mai 2023 concernant la société Doctissimo ; Rapport annuel d’activité de la CNIL pour 2022