DOCTISSIMO : de la nécessité de recueillir le consentement selon une décision de la CNIL du 11 mai 2023
Le 11 mai 2023, la CNIL a prononcé une amende d’un montant de 380 000 euros à l’encontre de la société DOCTISSIMO, notamment pour avoir manqué à son obligation de recueil du consentement des utilisateurs, préalable à la collecte et l’utilisation de leurs données de santé, et pour ne pas avoir respecté les règles sur les cookies.
Cette sanction fait suite à la plainte déposée par l’association PRIVACY INTERNATIONAL, qui a donné lieu à quatre missions de contrôle exercées par la CNIL au sein de la société DOCTISSIMO. Les problématiques évoquées concernaient les thématiques proposées par le site internet de la société, soit des articles, des tests, des quiz et des forums de discussion en lien avec la santé et le bien-être.
Pour le montant de l’amende et la publicité de la décision, la CNIL a pris en compte les éléments suivants :
- ❌Situation financière de la société DOCTISSIMO
- ❌Nombre de personnes concernées
- ❌Nature et gravité des manquements
- ❌Manque de vigilance de la société DOCTISSIMO lié au recueil du consentement et au traitement des données de santé.
📍Cette décision est d’abord l’occasion pour la CNIL de réaffirmer l’importance du respect des dispositions du RGPD concernant le traitement des données sensibles et la durée de conservation des données, ainsi que de donner des indications concernant les méthodes d’anonymisation des données.
📄 C’est également l’occasion de rappeler l’importance d’encadrer par un contrat conforme aux dispositions de l’article 26 du RGPD les traitements effectués conjointement par un autre responsable de traitement.
🍪 Enfin, la CNIL rappelle l’obligation recueillir préalablement le consentement de chaque utilisateur, dès son arrivée sur le site internet, avant tout dépôt de cookie publicitaire sur le terminal de ce dernier.
La CNIL considère que la collecte de données personnelles et notamment la collecte des données sensibles doivent scrupuleusement respecter les dispositions du RGPD, et que l’information et le consentement des utilisateurs demeurent le maitre mot.
1. Obligation de définir et respecter une durée de conservation effective (article 5.1 e du RGPD) :
- La CNIL considère qu’il est excessif de conserver les réponses aux tests réalisés par les internautes via le site de DOCTISSIMO, après le partage de ces résultats aux utilisateurs, au regard des finalités poursuivies. Les durées de conservation prévues (24 mois puis 3 mois) ne correspondaient pas au strict besoin de la société DOCTISSIMO.
- La CNIL rappelle la différence entre la pseudonymisation (réversible) et l’anonymisation (irréversible) des données à caractère personnel et considère que les méthodes suivantes ne permettent pas d’assurer l’anonymisation des données :
- L’usage de la fonction SHA256 de l’algorithme de hachage HMAC-SHA256, sans clé de hachage ;
- La conservation de l’identifiant unique, " id_user " de l’utilisateur, associée à son nom d’utilisateur pseudonymisé.
A RETENIR : La durée de conservation des données doit être déterminée en fonction des finalités poursuivies par le traitement = Mettre en place des process de conservation des données adaptés aux finalités envisagées + Vérifier l’effectivité des méthodes de suppression et d’anonymisation utilisées.
2. Obligation de recueillir le consentement des utilisateurs pour collecter leurs données de santé (article 9 du RGPD) et obligation d’information des personnes (article 13 du RGPD) :
- La CNIL a constaté que la société DOCTISSIMO manquait à son obligation d’informer les utilisateurs sur la collecte de leurs données sensibles, et ne mettait en place aucun mécanisme de recueil du consentement sur ses tests en ligne.
A RETENIR : Les données de santé sont des données sensibles qui ne peuvent être recueillies et exploitées qu'avec le consentement explicite de la personne = Mettre en place un process de recueil du consentement des utilisateurs et une note d’information claire et suffisamment précise leur expliquant la finalité du traitement et la durée de conservation des données.
3. Obligation d’encadrer par un acte juridique formalisé les traitements effectués conjointement avec un autre responsable de traitement (article 26 du RGPD) :
- La CNIL considère le traitement de données personnelles opéré conjointement par la société DOCTISSIMO avec d’autres sociétés, concernant la commercialisation des espaces publicitaire, devait être formalisé par un contrat indiquant la répartition des obligations entre chaque responsable conjoint de traitement.
A RETENIR : Les contrats conclus par des sous-traitants doivent respecter l’ensemble des mentions prévues par le RGPD = Mettre en place un process de validation des DPA à chaque fois qu’un nouveau partenariat avec un sous-traitant est envisagé + Mettre en place un process de validation des contrats encadrant la responsabilité conjointe à chaque fois qu’un nouveau partenariat envisagé.
4. Obligation d’assurer la sécurité des données personnelles (article 32 du RGPD):
- La CNIL a analysé que, jusqu’en octobre 2019, la société DOCTISSIMO avait mise en place un protocole de communication « http » qui n’était pas sécurisé et exposait les données des utilisateurs à des risques d’attaques ou de fuites.
- De plus, la CNIL a considéré que la méthode de conservation des mots de passe utilisée par la société DOCTISSIMO ne sécurisait pas suffisamment la conservation des mots de passe des utilisateurs.
En l’espèce, la méthode utilisée était la suivante :
- Transformation du mot de passe par l’algorithme de hachage MD5
- Transformation du résultat via la fonction « password_hash » du langage de programmation PHP utilisée par défaut avec l’algorithme Bcrypt
- Stockage du résultat dans la base de données de la société
A RETENIR : Le responsable de traitement est en charge de la sécurisation des données à caractère personnel des utilisateurs, stockées au sein des systèmes et services de traitement = Mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque lié au traitement des données + Vérifier que votre politique de gestion des mots de passe est conforme aux recommandations de la CNIL et de l’ANSSI.
5. Obligation de recueil du consentement préalable à l’utilisation des cookies (article 82 de la Loi informatique et libertés)
- La CNIL a relevé que la société DOCTISSIMO procédait au dépôt automatique d’un cookie publicitaire sur le terminal de l’utilisateur sans son consentement, dès son arrivée sur le site. Elle a aussi fait état du dépôt de deux cookies publicitaires alors même que l’utilisateur cliquait sur « TOUT REFUSER ».
A RETENIR : L’utilisateur doit pouvoir donner son consentement préalable au dépôt de cookie lors de son arrivée sur le site. Il doit aussi pouvoir le retirer à tout moment = Mettre en œuvre un process clair et complet de recueil de consentement de l’utilisateur avant tout dépôt de cookie sur son terminal.