top of page

Protection des données de santé et cookies - DOCTISSIMO sanctionné par une amende de 380.000 €

La CNIL avait annoncé que la protection des données de santé était un axe prioritaire des contrôles en 2020, en 2021, et en 2023.


Par délibération de la formation restreinte du 11 mai 2023, la CNIL prononce deux amendes à l'encontre de DOCTISSIMO (1):

- 280.000 € au titre des manquements au RGPD;

- 100.000 € au titre des manquements relatifs à l'utilisation des cookies.


Plus précisément la CNIL a relevé :


1/ Un manquement à l'obligation de conserver les données pour une durée limitée à l'objectif recherché (article 5, paragraphe 1) e) RGPD).

La CNIL a estimé que des durées de conservation de 24 mois et 3 mois de données relatives à des tests effectués par les internautes (collecte des réponses au test et des adresses IP associées) sont excessives car elles ne correspondent pas au strict besoin de la société.


2/ Un manquement à l'obligation de recueillir le consentement des internautes pour collecter leur données de santé (article 9 RGPD). Les tests en ligne ne comportaient aucun avertissement ou mécanisme de recueil du consentement de l'utilisateur au traitement de ses données de santé.


3/ Un manquement à l'obligation d'encadrer par contrat les traitements effectués avec un autre responsable de traitement (article 26 RGPD).


4/ Un manquement à l'obligation d'assurer la sécurité des données personnelles (article 32 RGPD). La société a utilisé un protocole de communication non sécurisé jusqu'en 2019 et les mots de passes étaient conservés sous un format insuffisamment sécurisé.


5/ Un manquement aux obligations liées à l'utilisation des cookies (article 82 de la loi Informatique et Libertés). Des cookies publicitaires étaient déposés même après avoir cliqué sur le bouton "tout refuser".


Il convient également de relever que sur un certain nombre de manquements au RGPD la société s'est mise en conformité au cours de la procédure, de sorte que des injonctions ne sont pas adressées à la société sur ces points, la CNIL rappelle cependant que cela ne saurait exonérer la société de sa responsabilité pour le passé.


(1) Délibération de la formation restreinte no SAN-2023-066 du 11 mai 2023 concernant la société DOCTISSIMO

Posts récents

Voir tout

Bình luận


bottom of page