- La décision: Délibération de la formation restreinte Délibération SAN-2023-006 du 11 mai 2023
- La société visée : La société française Doctissimo qui édite un site web francophone www.doctissimo.fr proposant des contenus éditoriaux en lien avec la santé et le bien-être.
- Type de sanction: Sanction financière (amende administrative de 5 millions d’euros).
- Origine(s) du contrôle: Plainte de l’association Privacy international, communiquée publiquement
- Type de contrôle: Contrôle en ligne sur le site web; contrôle sur place ; contrôle sur pièces (envoi d’un questionnaire).
- Textes visés: Directive ePrivacy ; Article 82 de la loi Informatique et Libertés ; articles 5-1-e), 9, 13, 26 et 32 du RGPD
Les manquements relevés :
- Conservation excessive (24 mois) des résultats des tests associés à l’adresse IP de l’utilisateur, des comptes inactifs de plus de 3 ans créés par les utilisateurs (absence de procédure d’anonymisation)
- Absence de contrôle suffisant sur la prestation réalisée par le prestataire
- Utilisation d’une fonction de hachage ne permettant pas l’anonymisation (fonction SHA256 sans clé de hachage associée)
- Utilisation d’une solution d’anonymisation non effective
- Absence de consentement explicite pour la collecte des données de santé
- Absence d’encadrement des traitements réalisés avec un responsable conjoint
- Absence de sécurité relative à la navigation des utilisateurs web (utilisation http)
- Absence de sécurité relative au stockage des mots de passe des utilisateurs du site (MD5)
- Dépôt de cookies publicitaires sans consentement préalable
Références :
- Délibération SAN-2023-006 du 11 mai 2023
- RGPD
- CNIL, 05.2023, données de santé et utilisation des cookies : DOCTISSIMO sanctionné par une amende de 380 000 euros