Faisant suite à une plainte déposée par l’association Privacy International en 2020, la Cnil vient de sanctionner le site d’informations médicales Doctissimo pour plusieurs manquements au RGPD et à la loi informatique et libertés de 1978. A la clef, une amende salée.
Le diagnostic est sans appel et l’ordonnance salée pour Doctissimo qui écope d’une sanction financière de 380 000 euros de la part de la Cnil. Le portail d’informations médicales était détenu par TF1 avant d’être racheté par Reworld Media en juin 2022. Les faits reprochés par le régulateur remontent eux à l’été 2020, à la suite d’une plainte déposée par l’association Privacy International. Elle soulevait plusieurs infractions liées au traitement des données personnelles au titre du RGPD. La CNIL a enquêté et s’est constituée en guichet unique auprès des autres régulateurs européens, eux aussi concernés par l’affaire.
Dans le viseur de la Commission, tout d’abord les quizz disponibles sur le site portant sur différents sujets : cancer du côlon, endométriose, nutrition, etc. La Cnil épingle ces tests pour plusieurs raisons. La durée de conservation des données de 24 mois est jugée excessive et non justifiée. Par ailleurs, l’anonymisation demandée par Doctissimo à son sous-traitant hébergeant les tests n’est pas effective. En effet, le prestataire a mis en place un système de hachage des adresses IP en SHA 256, sans clé de hashage, ce qui au regard de la Cnil ne constitue pas un moyen d’anonymisation. Toujours sur la conservation des données, la formation restreinte a constaté que Doctissimo gardait les informations, sans anonymisation, des comptes utilisateurs inactifs depuis 3 ans. Enfin, le site n’avait pas mis en place de mécanisme de recueil du consentement sur ces tests « afin de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé, considérées comme particulièrement sensibles ».
Des cookies sans consentement et une sécurité obsolète
Cette problématique du consentement revient sur la politique des cookies de Doctissimo. Lors de son enquête, la Cnil a constaté que « deux cookies étaient déposés sur son terminal dès son arrivée sur la page d’accueil du site web » sans avoir la possibilité de les refuser. Le régulateur rappelle sa position et sa politique relative aux cookies qui laissait une période transitoire aux entreprises jusqu’au 1er avril 2021 pour installer des boutons « Refuser » ou « Continuer sans accepter ».
Enfin, les moyens de sécurité des données personnelles sont jugés trop faibles. La navigation en HTTP et non en HTTPS est taclée par le régulateur, qui rappelle qu’il ne s’agit pas d’une obligation, mais d’une bonne pratique. Il précise néanmoins qu’au regard des données sensibles gérées par le site d’informations médicales, il devait adopter HTTPS. De même, la formation restreinte observe que la sécurisation du stockage des mots de passe est désuet en s’appuyant sur l’algorithme de hachage MD5. Ce dernier « n’est plus considéré comme à l’état de l’art depuis 2004 et que son utilisation en cryptographie ou en sécurité est proscrite ».
En conséquence de l’ensemble de ces griefs, la Cnil inflige une amende de 380 000 euros à Doctissimo. La sanction se décompose en 280 000 euros au titre des manquements des articles 5-1-e), 9-2, 26 et 32 du RGPD. Et 100 000 euros pour les manquements à l’article 82 du RGPD.