La Cnil a infligé une double amende au site Doctissimo, propriété de Reworld Media, pour des manquements liés au Règlement européen sur la protection des données (RGPD). La sanction se situe à hauteur de 380.000 euros et fait suite à une plainte de l'ONG Privacy International.
Une sanction lourde pour l'un des piliers de l'internet français lié à la santé. Ce mercredi 17 mai, la Commission nationale de l'information et des libertés (Cnil) a adressé deux amendes au site Doctissimo, pour une sanction totale à hauteur de 380.000 euros. Selon l'agence publique, plusieurs manquements ont été observés sur la préservation des données de santé des utilisateurs.
Une première amende de 280.000 euros a été décidée «au regard des manquements au règlement général sur la protection des données (RGPD)». La seconde, chiffrée à 100.000 euros, concerne «un manquement aux obligations liées à l'utilisation des cookies».
Une plainte déposée en septembre 2019
Ces deux peines cumulées sont la conséquence d'une plainte de l'ONG Privacy International déposée en septembre 2019. Dans un rapport, elle dénonçait des infractions «particulièrement graves et systémiques». Ainsi, elle ciblait Doctissimo pour l'envoi non-protégé de réponses d'utilisateurs à des questionnaires de santé, alors que ces dernières comportaient des données médicales parfois sensibles. Toujours selon l'organisme, Doctissimo forçait l'installation de cookies de manière illégale, sans demander le consentement de l'internaute.
La CNIL prononce une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du #RGPD et pour ne pas avoir respecté les règles sur les #cookies https://t.co/at0x5sVDNg pic.twitter.com/SbCxbsO2Ny
— CNIL (@CNIL) May 17, 2023
Une plainte qui a été entendue par la Cnil, puisque celle-ci a également «relevé plusieurs manquements notamment concernant les durées de conservation des données, la collecte de données de santé via des tests en ligne, la sécurisation des données ainsi que les modalités de dépôt des cookies sur le terminal des utilisateurs».
Pour déterminer le montant des amendes, la CNIL dit avoir «pris en considération le fait qu’au vu de sa nature et de son secteur d’activité, c’est-à-dire la diffusion de contenus numériques relatifs à la santé, la société aurait dû faire preuve d’une vigilance particulière quant au recueil du consentement des personnes pour collecter leurs données de santé». Selon des chiffres donnés par le site lui-même, ce sont 15 millions d'utilisateurs qui naviguent chaque mois sur la plate-forme.
En 2022, la Cnil a infligé 19 amendes pour un montant de 101.277.900 euros. La plus forte sanction a concerné le groupe Microsoft, qui a été condamné à payer 60 millions d'euros pour «ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter».