Données personnelles : Doctissimo condamnée à une amende trop légère par la CNIL ?

Le site d’information sur la santé et le bien-être, qui appartient désormais à Reworld Media, devra payer 280 000 euros pour avoir conservé sans limite de temps et collecté sans autorisation des données personnelles et de santé. 100 000 euros supplémentaires devront être réglés pour des infractions relatives aux cookies, selon le communiqué publié par la CNIL, l’autorité française en charge de la protection de la vie privée, mercredi 17 mai.

Ces sommes seraient bien trop dérisoires face à l’ampleur des violations commises, ont protesté des défenseurs de droits. En 2020, c’est une association britannique de défense de la vie privée, Privacy International, qui avait initié la procédure en portant plainte contre Doctissimo. L’ONG, sur son compte Twitter, note que la décision de la CNIL arrive « trois ans après notre plainte, et quatre ans après notre rapport d’enquête ». Cette sanction constitue « un important précédent » reconnait cette dernière, notant cependant que « tout n’est pas fini ».

Le calcul risque/bénéfice encore au détriment des internautes

Pour certains, le calcul risque/bénéfice se fait toujours au détriment des internautes. Avec des amendes jugées trop faibles, il serait toujours plus rentable pour les sociétés de ne pas respecter les règles sur la collecte et le traitement des données personnelles, que de s’y conformer. « Il sera toujours plus bénéfique d’ignorer les droits de l’usager, même lorsque la CNIL intervient. Le risque (encouru) est quasi nul », s’indigne par exemple sur Twitter Dignilog, un site spécialisé sur les sites tiers, les données personnelles, et le Tracking. Dans son viseur, le montant de l’amende, 380 000 euros, qui semble bien peu face à l’ampleur des violations. C’est un «  très mauvais signal pour les groupes comme Reworld, pour qui cette sanction fera doucement rire, celle-ci représentant 0,07 % de son chiffre d’affaires ! », peut-on lire sur le compte.

Doctissimo, qui appartenait au groupe TF1, a été rachetée l’été dernier par Reworld. Mais le calcul de l’amende semble avoir été effectué en fonction des comptes de Doctissimo, et pas du groupe dans son ensemble. La CNIL précise ainsi avoir pris en compte la « situation financière de la société » – mauvaise – sans donner de plus amples détails. Résultat, déplore pour sa part un internaute sur son compte Twitter : « Aucun effet dissuasif ». En théorie, l’autorité française pourrait prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. 

Pas de collecte du consentement, une sécurisation des données jugée insuffisante…

Dans sa décision, la Cnil relève quatre manquements au RGPD, le règlement européen sur les données personnelles. Doctissimo, qui a collecté des données de santé « considérées comme particulièrement sensibles au regard du RGPD », n’aurait pas recueilli le consentement de ses utilisateurs – il s’agissait de données fournies pendant les tests et les quiz que proposait la plateforme. Le site Web aurait ensuite conservé ces données durant une durée jugée « excessive », à savoir 24 mois, puis 3 mois. Ces durées « ne correspondent pas au strict besoin de la société » qui aurait dû seulement les utiliser pour « permettre à l’utilisateur de prendre connaissance des résultats des tests, de les partager ainsi que de réaliser des statistiques agrégées », écrit la CNIL.

Autre problème : les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient aussi conservées sans procédure d’anonymisation. Enfin, l’entreprise n’aurait pas suffisamment sécurisé les données personnelles des internautes. Elle « conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, alors qu’ils permettaient d’accéder à l’espace personnel contenant notamment les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée », estime la CNIL.

Le dernier manquement a trait à la législation française sur l’utilisation des cookies. Non seulement le site déposait un traqueur publicitaire sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site. Mais il imposait deux autres cookies, même si le dépôt de cookies était refusé par l’internaute. Cette absence de consentement a concerné « des centaines de millions d’internautes », tacle la CNIL, qui note cependant que Doctissimo a, depuis, « pris des mesures pour se mettre en conformité sur l’ensemble des manquements ».

Pourtant, tout est loin d’être réglé, souligne le chercheur et activiste autrichien Wolfie Christl sur Twitter. Bien que « Doctissimo mette en œuvre le strict minimum (…), il (…) demande aux utilisateurs de “consentir” au partage de leurs données personnelles avec environ 700 tiers, dont beaucoup sont des courtiers en données ».

Pour ce dernier, « la décision (de la CNIL, ndlr) n’aborde pas vraiment les problèmes fondamentaux liés au partage de données personnelles entre des milliers d’entreprises dans l’écosystème actuel du marketing de surveillance, de l’identification au profilage en passant par le RTB (“real time bidding”) ». Cette technique est utilisée par de nombreuses sociétés pour suivre à la trace nos habitudes en ligne : ces données permettent ensuite aux géants de la publicité en ligne de dresser un profil très précis de chaque internaute, profil qui permettra ensuite de leur proposer des publicités très ciblées. Histoire à suivre ?