Récemment (mai 2023), la société Doctissimo s’est trouvée sous les feux de la réglementation RGPD, suite à des contrôles menés par la CNIL. Cette intervention, déclenchée par une plainte de l’association Privacy International, a mis en lumière des manquements significatifs aux normes de protection des données. En conséquence, Doctissimo a écopé de deux amendes publiques totalisant 380 000 euros.
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047552103
Les infractions relevées touchent plusieurs aspects cruciaux de la réglementation sur les données personnelles :
- Violation de l’article 5.1.e du RGPD : une conservation des données pour une durée jugée excessive, dépassant les besoins initiaux de traitement.
- Violation de l’article 9 du RGPD : absence de mécanismes adéquats pour recueillir le consentement dans le cadre de tests en ligne.
- Violation de l’article 26 du RGPD : manque d’encadrement formel concernant les relations de responsabilités conjointes.
- Violation de l’article 32 du RGPD : utilisation de protocoles de communication non sécurisés et conservation des mots de passe dans un format vulnérable.
- Violation de l’article 82 du RGPD : dépôt de cookies publicitaires sans consentement préalable.
Ces constatations amènent à plusieurs réflexions importantes :
- La durée de conservation des données doit être strictement alignée sur l’objectif du traitement, avec une suppression ou anonymisation postérieure.
- Le responsable du traitement des données doit s’assurer que son sous-traitant respecte la législation sur la protection des données, avec des contrôles réguliers et des mesures techniques et organisationnelles adéquates.
- La pseudonymisation n’équivaut pas à une anonymisation, surtout si des informations supplémentaires permettent de réidentifier les sujets.
- Dans le cadre de données de santé, le consentement doit être recueilli avec une information claire et explicite.
- Les relations de responsabilités conjointes exigent une formalisation documentée précise.
- La sécurité des données implique des mesures techniques appropriées, notamment dans le stockage des mots de passe.
- Enfin, le consentement est impératif pour le dépôt de cookies publicitaires.
Pour fixer le montant de la sanction, la CNIL a pris en compte la nature et la gravité des manquements, les catégories de données concernées, l’ampleur du public affecté, la situation financière de l’entreprise, ainsi que son attitude durant le processus. La décision de rendre publique la sanction s’est basée sur des critères similaires, soulignant la sévérité des infractions et leur portée.
Cette affaire souligne l’importance cruciale du respect des réglementations sur la protection des données, et envoie un signal clair aux autres acteurs du secteur sur les conséquences d’une non-conformité.
Nos liens :
DOCTISSIMO sanctionné par la CNIL : une leçon de conformité au RGPD(S’ouvre dans un nouvel onglet)
Absence de désignation d’un DPO(S’ouvre dans un nouvel onglet)
Explique moi le RGPD : Article 1(S’ouvre dans un nouvel onglet)
Explique moi l’article 12 du RGPD(S’ouvre dans un nouvel onglet)
