La société Doctissimo a été condamné à 2 amendes de la part de la CNIL pour un montant cumulé de 380 000 € pour une série de manquements au RGPD (280 000€) et à la Loi Informatique et Libertés (100 000€).
Après enquête, la CNIL a pu constater plusieurs irrégularités :
📍Manquements concernant l’utilisation de 𝒄𝒐𝒐𝒌𝒊𝒆𝒔.
Elle a relevé l’installation de cookies publicitaires sans consentement à l’arrivée sur le site et même après avoir refusé leurs installations.
📍Manquement concernant l’obligation de 𝒄𝒐𝒏𝒔𝒆𝒓𝒗𝒂𝒕𝒊𝒐𝒏 𝒅𝒆 𝒅𝒐𝒏𝒏𝒆́𝒆𝒔.
Elle juge excessive la durée de conservation des données de 24 mois relative aux tests au regard de l’objectif de traitement.
📍Manquement sur le 𝒓𝒆𝒄𝒖𝒆𝒊𝒍 𝒅𝒖 𝒄𝒐𝒏𝒔𝒆𝒏𝒕𝒆𝒎𝒆𝒏𝒕.
Aucune indication pour l’utilisateur ne lui permettait de savoir que ses données de santé serait traitées, alors même que ce sont des données “sensibles”.
📍Manquement sur la 𝒇𝒐𝒓𝒎𝒂𝒍𝒊𝒔𝒂𝒕𝒊𝒐𝒏 𝒅𝒆𝒔 𝒓𝒆𝒍𝒂𝒕𝒊𝒐𝒏𝒔 avec d’autres responsables de traitement.
Les relations avec les partenaires portant sur la gestion des espaces publicitaires n’étaient pas encadrées formellement sur la partie du traitement des données.
📍Manquement concernant la 𝒔𝒆́𝒄𝒖𝒓𝒊𝒕𝒆́ 𝒅𝒆𝒔 𝒅𝒐𝒏𝒏𝒆́𝒆𝒔.
La CNIL a relevé que la société utilisait jusqu’en 2019 un protocole non sécurisé (http) et vulnérable aux attaques informatiques et que son système de conservation de mot de passe n’était pas assez sécurisé.
La CNIL observe que Doctissimo a pris depuis les mesures pour se mettre en conformité, et clôt donc la procédure.
