Le 26 Juin 2020, une ONG a déposé plainte auprès de la CNIL contre Doctissimo concernant le non-respect du RGPD. 

Doctissimo est un site français portant sur le bien-être et la santé. Des articles et des vidéos y sont répertoriés sur ces thèmes. Ce site permet également de se renseigner sur des maladies ou des symptômes. Il semble être apprécié puisqu’il cumule près de 60 millions de visites par mois.

    Il faut noter que Doctissimo collecte les données de ses utilisateurs, notamment le nom et prénom de la personne, son âge, des données concernant ses habitudes ou ses préférences, des données relatives au paiement et également les cookies. Il s’agit d’un site relatif à la santé donc qui collecte des données de santé et, selon le RGPD, il s’agit de données sensibles. Ces données ne sont pas anonymisées mais pseudonymisées ce qui permet de retrouver l’identité des personnes.

D’après une ONG, Privacy International, Doctissimo enfreindrait le règlement sur la protection des données personnelles, elle a donc porté plainte auprès de la CNIL contre le site. Elle reproche au site de partager les données récoltées avec des tiers alors même que le consentement n’aurait pas été recueilli auprès des utilisateurs. Ce n’est pas moins de 556 tiers, partenaires du site, qui auraient accès aux données personnelles des utilisateurs. 

 Premièrement, le consentement des utilisateurs ne semblent pas recueilli conformément au RGPD notamment concernant les cookies. Le site considère que l’internaute donne son consentement tacitement par sa seule présence sur celui-ci. Cependant, le RGPD est clair sur ce point, le consentement doit être donné par la personne d’une manière libre et éclairée, il doit être spécifique et univoque. Le consentement de la personne doit : 

  • lui permettre de comprendre quel traitement sera fait sur ses données 
  • lui permettre de choisir sans contrainte si elle accepte ou non le traitement 
  • elle doit pouvoir changer d’avis librement. 

Tel ne semble pas être le cas ici puisqu’une sorte de pop-up apparait puis disparait sur le site alors même que la personne n’a pas encore accepté ou refusé. 

    Deuxièmement, les données transférées le sont sans qu’aucune mesure de sécurité informatique ne soit prise. 

  

    Les données sont par la suite utilisées par les partenaires afin de les analyser pour créer un profil de la personne et vendre ce profil à des fins de ciblages publicitaires. 

Cependant, il est tout à fait possible que ces profils soient revendus à des organismes d’assurance auquel cas il serait compliqué de contracter un prêt en cas de maladie grave. Il est également possible que des entreprises les utilisent dans le cadre des embauches afin de ne pas embaucher une personne atteinte d’une maladie ou autre. 

Il s’agit ici d’une lourde atteinte à la vie privée des personnes. Si la CNIL relève une infraction au RGPD, elle pourra sanctionner Doctissimo d’une amende pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial du site. 

Aurore Boibessot 

M2 Cyberjustice – Promotion 2019-2020

Sources

A propos de