Données de santé et utilisation des cookies
La CNIL a prononcé, le 27 mai 2023, une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD.
[FICTION] Transposons cette sanction à votre entreprise
Le site web doctissimo.fr propose principalement des articles, tests, quiz et forums de discussion en lien avec la santé et le bien-être, à destination du grand public. Votre entreprise pourrait être sanctionné pour des motifs similaires. Voyons cela !
1. Conservation des données
Les faits reprochés à Doctissimo
La société conservait les données relatives aux tests réalisés par les internautes pendant 24 mois, puis 3 mois, à compter de leur réalisation. La CNIL considère que ces durées de conservation sont excessives, car elles ne correspondent pas au strict besoin de la société qui collecte les données des tests afin de permettre à l’utilisateur de prendre connaissance des résultats du tests, de les partager ainsi que de réaliser des statistiques agrégées.
Transposition à votre entreprise
A. Soit, votre entreprise a négligé la suppression des données ; on enregistre et on oublie !
B. Soit, votre entreprise n’a pas bien défini la ou les finalités de la collecte des informations (données) personnelles ; elle ne peut donc pas les conserver aussi longtemps qu’elle aurait voulu.
Article 5.1.e du RGPD : obligation de conserver les données pour une durée limitée à l’objectif recherché.
2. Consentement des personnes
Les faits reprochés à Doctissimo
DOCTISSIMO ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne, afin de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé, considérées comme particulièrement sensibles au regard du RGPD.
Transposition à votre entreprise
A. Votre entreprise a peut-être demandé ou exigé une date de naissance sur un formulaire d’inscription ; vous n’avez pas suffisamment éclairé la personne dont le consentement peut être qualifié de “forcé”.
B. Votre entreprise a réclamé des informations sans rapport avec l’objet du formulaire. Par exemple « Êtes-vous musulman ? » sur une page d’inscription d’un site e-commerce.
Article 9 du RGPD : obligation de recueillir le consentement des personnes pour collecter leurs données de santé
3. Conformité RGPD des partenaires et sous-traitants
Les faits reprochés à Doctissimo
La société DOCTISSIMO met en œuvre des traitements de données personnelles avec d’autres sociétés, liés notamment à la commercialisation des espaces publicitaires sur le site web. Ces relations de responsabilités conjointes n’étaient pas encadrées par un document formalisé, comme un contrat.
Un tel document doit notamment indiquer la répartition des obligations entre chaque responsable de traitement.
Transposition à votre entreprise
A. Votre entreprise entretien des partenariats avec d’autres entreprises ; vous partagez des données de vos clients sans vous être assuré de la conformité RGPD des partenaires ; vous êtes sanctionné en l’absence d’encadrement des partages d’informations personnelles (nom, prénom, e-mail, téléphone…).
B. Votre entreprise sous-traite certains travaux (secrétariat, comptabilité, informatique, commercialisation) à des indépendants, des TPE ; vous n’avez pas inclus de clause ou d’annexe encadrant les traitements à effectuer.
Article 26 du RGPD : obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement
4. Dépôt de cookies non consenti
Les faits reprochés à Doctissimo
La CNIL a constaté le dépôt d’un cookie publicitaire sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site, ainsi que le dépôt de deux cookies publicitaires après avoir cliqué sur le bouton « TOUT REFUSER ».
Elle considère que l’absence de recueil du consentement a concerné chaque visiteur du site web.
Transposition à votre entreprise
A. Le site Internet de votre entreprise contient des vidéos YouTube ou Vimeo, sans code anticookie ; vous n’êtes pas autorisé à diffuser ces vidéos.
B. Votre entreprise ajoute régulièrement de nouveaux services ou modules sur son site, sans vérifier le comportement des cookies ; vous empêchez les internautes de faire un choix.
Article 82 de la Loi Informatique et Libertés : obligations liées à l’utilisation des cookies
Sources : décision CNIL du 27 mai 2023.