La CNIL, le gendarme français de nos données personnelles, a condamné Doctissimo à 380 000 euros d’amende pour avoir exploité nos data sans respecter le règlement européen sur les données personnelle (RGPD) et la loi française relative aux cookies. La sanction n’est pas assez sévère pour être dissuasive, estiment des associations et des activistes.
Un temps de procédure trop long, un montant de l’amende dérisoire… Bien que saluée, la décision de la Commission nationale de l’informatique et des libertés (CNIL), qui a condamné Doctissimo à 380 000 euros d’amende, ne serait pas suffisamment sévère pour des défenseurs des droits.
Le site d’information sur la santé et le bien-être, qui appartient désormais à Reworld Media, devra payer 280 000 euros pour avoir conservé sans limite de temps et collecté sans autorisation des données personnelles et de santé. 100 000 euros supplémentaires devront être réglés pour des infractions relatives aux cookies, selon le communiqué publié par la CNIL, l’autorité française en charge de la protection de la vie privée, mercredi 17 mai.
ℹ️🔴 La CNIL prononce une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du #RGPD et pour ne pas avoir respecté les règles sur les #cookies 👉 https://t.co/at0x5sVDNg pic.twitter.com/SbCxbsO2Ny
— CNIL (@CNIL) May 17, 2023
L’appel à prendre des mesures plus fortes
Ces sommes seraient bien trop dérisoires face à l’ampleur des violations commises, ont protesté des défenseurs de droits. En 2020, c’est une association britannique de défense de la vie privée, Privacy International, qui avait initié la procédure en portant plainte contre Doctissimo. L’ONG, sur son compte Twitter, note que la décision de la CNIL arrive « trois ans après notre plainte, et quatre ans après notre rapport d’enquête ». Cette sanction constitue « un important précédent » reconnait cette dernière, notant cependant que « tout n’est pas fini ».
L’application du RGPD reste « molle et lente », tacle l’ONG qui demande que « les autorités prennent des mesures plus fortes contre les industries de l’AdTech et du courtage de données, pour mettre fin à leurs abus très lucratifs de nos données personnelles, aux dépens de nos droits et libertés ». Il y a quelques jours, c’était une autre association, l’ONG irlandaise Irish Council for Civil Liberties, qui estimait que le RGPD n’était tout simplement pas appliqué aux Big Tech.
À lire aussi : L’Europe ne protège pas assez notre vie privée face aux Gafam, selon une ONG
Le calcul risque/bénéfice encore au détriment des internautes
Pour certains, le calcul risque/bénéfice se fait toujours au détriment des internautes. Avec des amendes jugées trop faibles, il serait toujours plus rentable pour les sociétés de ne pas respecter les règles sur la collecte et le traitement des données personnelles, que de s’y conformer. « Il sera toujours plus bénéfique d’ignorer les droits de l’usager, même lorsque la CNIL intervient. Le risque (encouru) est quasi nul », s’indigne par exemple sur Twitter Dignilog, un site spécialisé sur les sites tiers, les données personnelles, et le Tracking. Dans son viseur, le montant de l’amende, 380 000 euros, qui semble bien peu face à l’ampleur des violations. C’est un « très mauvais signal pour les groupes comme Reworld, pour qui cette sanction fera doucement rire, celle-ci représentant 0,07 % de son chiffre d’affaires ! », peut-on lire sur le compte.
Doctissimo, qui appartenait au groupe TF1, a été rachetée l’été dernier par Reworld. Mais le calcul de l’amende semble avoir été effectué en fonction des comptes de Doctissimo, et pas du groupe dans son ensemble. La CNIL précise ainsi avoir pris en compte la « situation financière de la société » – mauvaise – sans donner de plus amples détails. Résultat, déplore pour sa part un internaute sur son compte Twitter : « Aucun effet dissuasif ». En théorie, l’autorité française pourrait prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel.
« N’ayez pas peur d’imposer des amendes RGPD et des interdictions de traitement qui perturbent des modèles commerciaux entiers, s’ils méritent d’être perturbés. Prenez des risques », tacle aussi Wolfie Christl, activiste et chercheur autrichien qui résume la décision de la CNIL par un : « C’est bien, mais… ».
The French data protection authority CNIL fined the French health website https://t.co/Op1QbWIqdT €280k for GDPR infringements plus €100k for ePrivacy infringements.
This is good, but. A few comments.https://t.co/Y7XhAn6VDs pic.twitter.com/HIbwMb7A18
— Wolfie Christl (@WolfieChristl) May 17, 2023
Pas de collecte du consentement, une sécurisation des données jugée insuffisante…
Dans sa décision, la Cnil relève quatre manquements au RGPD, le règlement européen sur les données personnelles. Doctissimo, qui a collecté des données de santé « considérées comme particulièrement sensibles au regard du RGPD », n’aurait pas recueilli le consentement de ses utilisateurs – il s’agissait de données fournies pendant les tests et les quiz que proposait la plateforme. Le site Web aurait ensuite conservé ces données pendant une durée jugée « excessive », à savoir 24 mois, puis 3 mois. Ces durées « ne correspondent pas au strict besoin de la société » qui aurait dû seulement les utiliser pour « permettre à l’utilisateur de prendre connaissance des résultats des tests, de les partager ainsi que de réaliser des statistiques agrégées », écrit la CNIL.
Autre problème : les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient aussi conservées sans procédure d’anonymisation. Enfin, l’entreprise n’aurait pas suffisamment sécurisé les données personnelles des internautes. Elle « conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, alors qu’ils permettaient d’accéder à l’espace personnel contenant notamment les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée », estime la CNIL.
Le dernier manquement a trait à la législation française sur l’utilisation des cookies. Non seulement le site déposait un traqueur publicitaire sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site. Mais il imposait deux autres cookies, même si le dépôt de cookies était refusé par l’internaute. Cette absence de consentement a concerné « des centaines de millions d’internautes », tacle la CNIL, qui note cependant que Doctissimo a, depuis, « pris des mesures pour se mettre en conformité sur l’ensemble des manquements ».
D’autres problèmes fondamentaux à régler pour mieux protéger notre vie privée ?
Pourtant, tout est loin d’être réglé, souligne le chercheur et activiste autrichien Wolfie Christl sur Twitter. Bien que « Doctissimo mette en œuvre le strict minimum (…), il (…) demande aux utilisateurs de “consentir” au partage de leurs données personnelles avec environ 700 tiers, dont beaucoup sont des courtiers en données ».
Pour ce dernier, « la décision (de la CNIL, ndlr) n’aborde pas vraiment les problèmes fondamentaux liés au partage de données personnelles entre des milliers d’entreprises dans l’écosystème actuel du marketing de surveillance, de l’identification au profilage en passant par le RTB (“real time bidding”) ». Cette technique est utilisée par de nombreuses sociétés pour suivre à la trace nos habitudes en ligne : ces données permettent ensuite aux géants de la publicité en ligne de dresser un profil très précis de chaque internaute, profil qui permettra ensuite de leur proposer des publicités très ciblées. Histoire à suivre ?
À lire aussi : « La grande fuite de données » : vos informations personnelles partagées des centaines de fois par jour
Source :
Communiqué de la Cnil