RRevue de Presse

Protection des données de santé : la Cnil inflige 380 000 € d’amende à Doctissimo

0
Shares
0
0
0
0

Ce communiqué a été diffusé par la Cnil.

La CNIL a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le consentement des personnes à la collecte et l’utilisation de leurs données de santé, et pour ne pas avoir respecté les règles sur les cookies.

Le contexte

À la suite d’une plainte de l’association PRIVACY INTERNATIONAL, la CNIL a procédé à quatre missions de contrôle auprès de la société DOCTISSIMO. Le site web doctissimo.fr propose principalement des articles, tests, quiz et forums de discussion en lien avec la santé et le bien-être, à destination du grand public.

Lors de ses investigations, la CNIL a relevé plusieurs manquements, notamment concernant les durées de conservation des données, la collecte de données de santé via des tests en ligne, la sécurisation des données ainsi que les modalités de dépôt des cookies sur le terminal des utilisateurs.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé deux amendes à l’encontre de DOCTISSIMO :

  • une amende de 280 000 euros au regard des manquements au règlement général sur la protection des données (RGPD). Cette amende a été prise en coopération avec l’ensemble des homologues européens de la CNIL dans le cadre du guichet unique, car le site web a des visiteurs dans tous les États membres de l’Union européenne.
  • une amende de 100 000 euros concernant le manquement relatif à l’utilisation des cookies (l’article 82 de la loi Informatique et Liberté). Dans ce cas, la CNIL est compétente pour agir seule.

Afin de déterminer le montant de la sanction, la CNIL a pris en compte la nature et la gravité des manquements, les catégories de données personnelles (données de santé) et le nombre de personnes concernées ainsi que la situation financière de la société. Elle a également pris en considération le fait qu’au vu de sa nature et de son secteur d’activité, c’est-à-dire la diffusion de contenus numériques relatifs à la santé, la société aurait dû faire preuve d’une vigilance particulière quant au recueil du consentement des personnes pour collecter leurs données de santé.

Les manquements sanctionnés

La CNIL a retenu quatre manquements au RGPD et un manquement à la loi Informatique et Libertés à l’encontre de la société DOCTISSIMO.

Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)

La société conservait les données relatives aux tests réalisés par les internautes pendant 24 mois, puis 3 mois, à compter de leur réalisation. La CNIL considère que ces durées de conservation sont excessives, car elles ne correspondent pas au strict besoin de la société qui collecte les données des tests afin de permettre à l’utilisateur de prendre connaissance des résultats du tests, de les partager ainsi que de réaliser des statistiques agrégées. 

Les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient aussi conservées sans, par exemple, de procédure d’anonymisation.

Un manquement à l’obligation de recueillir le consentement des personnes pour collecter leurs données de santé (article 9 du RGPD) 

DOCTISSIMO ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne, afin de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé, considérées comme particulièrement sensibles au regard du RGPD.

Selon la société, la collecte des données de santé concernait environ 5 % des tests.

Un manquement à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement (article 26 du RGPD)

La société DOCTISSIMO met en œuvre des traitements de données personnelles avec d’autres sociétés, liés notamment à la commercialisation des espaces publicitaires sur le site web. Ces relations de responsabilités conjointes n’étaient pas encadrées par un document formalisé, comme un contrat.

Un tel document doit notamment indiquer la répartition des obligations entre chaque responsable de traitement.

Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) 

La société utilisait jusqu’en octobre 2019 un protocole de communication « http », qui n’est pas sécurisé et exposait alors les données à des risques d’attaques informatiques ou de fuite.

En outre, elle conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, alors qu’ils permettaient d’accéder à l’espace personnel contenant notamment les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée.

Un manquement aux obligations liées à l’utilisation des cookies (article 82 de la Loi Informatique et Libertés)

La CNIL a constaté le dépôt d’un cookie publicitaire sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site, ainsi que le dépôt de deux cookies publicitaires après avoir cliqué sur le bouton « TOUT REFUSER ».

Elle considère que l’absence de recueil du consentement a concerné chaque visiteur du site web, soit des centaines de millions d’internautes.

La société ayant pris des mesures pour se mettre en conformité sur l’ensemble des manquements, la CNIL a procédé à la clôture de la procédure.

Ajouter aux articles favoris
Please login to bookmark Close
0 Shares:
Share 0
Tweet 0
Pin it 0

1 comment
  1. Ping : Données de santé : Cegedim Santé écope de 800 000 € d'amende - Tripalio
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

— Previous article

PSC de la fonction publique d'Etat : un fiasco social supplémentaire pour la macronie

Next article —

Arrêté d’extension d’un avenant chez les entreprises de services à la personne

Découvrez nos analyses et capsules vidéos
Lancer la vidéo
Position de la ministre de la santé, Stéphanie Rist sur l'article 7 du projet de loi de financement de la sécurité sociale pour 2026 (PLFSS 2026) relatif à la taxe dite exceptionnelle à 1 Md€ sur les cotisations récoltées par les organismes de complémentaire santé. Propos tenus le jeudi 4 décembre 2025.

PLFSS 2026 : Stéphanie Rist défend le principe de la taxe Ocam

  • parTripalio
  • 5 décembre 2025
Lancer la vidéo
Position de la ministre des comptes publics, Amélie de Montchalin sur l'article 6 quater du projet de loi de financement de la sécurité sociale pour 2026 (PLFSS 2026) relatif à la création d'un nouveau socle responsable et solidaire dans les contrats de complémentaire santé. Elle rejette la proposition actuelle pour renvoyer à une concertation pour mieux définir ce contrat socle à travers l'amélioration de la prévention, de la qualité des soins, du contrôle des coûts mais aussi de la maîtris

PLFSS 2026 : rejet du socle solidaire et responsable par la ministre Amélie de Montchalin

  • parTripalio
  • 4 décembre 2025
Lancer la vidéo
Léo Guittet, docteur en droit de la santé et directeur juridique de Tripalio, fait le point les principales actualités concernant la santé et la prévoyance dans les conventions collectives nationales parues en septembre et octobre 2025. Ce bilan permet de faire le point sur ce les grands points d'attention pour les professionnels de la protection sociale complémentaire collective à l'approche de la fin d'année. Au menu du webinaire : - retour sur les accords santé et prévoyance significatifs pa

Webinaire Tripalio #4 : zoom sur les dernières grandes actus CCN santé/prévoyance

  • parTripalio
  • 31 octobre 2025
Lancer la vidéo
Dans ce troisième numéro de l'émission mensuelle de Tripalio, Mickaël Ciccotelli fait le point avec Léo Guittet sur : 1 - la situation du budget social de la France à l'heure du gouvernement Lecornu. + à lire pour aller plus loin : https://presse.tripalio.fr/quelles-hypotheses-pour-un-plfss-a-la-mode-lecornu/ 2 - les enjeux santé-prévoyance dans 5 secteurs d'activité + à lire pour aller plus loin : °https://presse.tripalio.fr/sante-et-prevoyance-les-dossiers-ccn-a-suivre-en-cette-rentree/ ° h

Le pouls des CCN #3 : les enjeux de la rentrée de septembre 2025

  • parTripalio
  • 11 septembre 2025
You May Also Like
JJO

Avis d’extension d’un avenant dans la CCN des personnels navigants officiers des services maritimes

La ministre de la transition écologique, de la biodiversité et des négociations internationales sur le climat et la nature, envisage d’étendre, par avis publié le 10 décembre 2025, les dispositions de l'avenant n° 4 signé le 14 octobre 2025 relatif aux salaires minima, conclu dans la convention collective nationale des personnels navigants officiers des entreprises de transport et services maritimes (...
BBOCC

Le secteur agricole des scieries, exploitations forestières et du rouissage-teillage du lin s’accorde sur l’APLD rebond

Un accord et son avenant dédiés à l'activité partielle de longue durée (APLD) rebond viennent de paraître au Bulletin officiel des conventions collectives agricoles pour le secteur des scieries agricoles, des exploitations forestières et du rouissage, teillage du lin. L'accord remonte au 27 juin 2025 tandis que son avenant est daté du 7 novembre 2025. Les deux textes s'appliquent dans de nombreuses conventions collectives locales ainsi que dans la convention collective du...
BBOCC

La CCN agricole des ETARF se dote d’un dispositif d’APLD rebond

Un accord dédié à l'activité partielle de longue durée rebond vient d'être signé dans la convention collective nationale (CCN) des entreprises de travaux et services agricoles, entreprises de travaux et de services ruraux, et entreprises de travaux et services forestiers (ETARF, IDCC 7025). Cet accord est tout juste paru au Bulletin officiel des conventions collectives...
PProtection Sociale
Lire plus
  • 2 minute read

Le PLFSS 2026 n’est pas encore sorti de l’ornière

Les députés ont adopté hier, en deuxième lecture, le projet de loi de financement de la sécurité sociale pour 2026 (PLFSS 2026). Cette adoption à quelques voix près (voir ci-dessous) ne permet pas de savoir si le texte sera adopté sous cette forme lors du vote final qui aura lieu à l'Assemblée nationale après un nouveau passage au Sénat. A ce stade, le déficit de la Sécurité sociale dépassera les 19 Md€ en 2026 (mais ce déficit est sous-estimé grâce à des transferts de l'Etat savamment insérés par le...
PProtection Sociale
Lire plus
  • 2 minute read

Les députés planchent sur la loi sur la lutte contre les fraudes sociales

Le projet de loi relatif à la lutte contre les fraudes sociales commence son examen en commission des affaires sociales pour sa première lecture à l'Assemblée nationale. A l'issue de son examen au Sénat le texte contient toujours son article 5 consacré à l'implication des organismes complémentaires d'assurance maladie (Ocam) dans cette lutte. Les représentants de...