Le 24 novembre 2022, la Commission nationale de l’informatique et des libertés (ci-après Cnil) a prononcé une sanction de 600 000 euros à l’encontre d’EDF après avoir constaté des manquements en matière de prospection commerciale et de droit des personnes.

Le 11 mai 2023, une sanction de 380 000 euros a été prononcée à l’encontre du site web Doctissimo, après une plainte déposée par l’association Privacy International auprès de la Commission nationale informatique et liberté (ci-après, la « Cnil »).

 

En effet, des obligations du Règlement général sur la protection des données (ci-après, le « RGPD ») et l’article 82 de la Loi Informatique et Libertés (ci-après, la « LIL ») n’ont pas été respectées.

 

La notion de données personnelles et l’utilisation des cookies

 

Les données personnelles désignent, au sens de l’article 4 du RGPD, toute information qui identifie une personne physique directement ou indirectement. Il peut ainsi s’agir du prénom et nom d’une personne, de son adresse postale ou électronique, dès lors que le nom et prénom sont identifiables (exemple : dupond.durand@gmail.com).

 

De même, lors de l’affaire du traitement de données de santé par la société IQVIA, la Cnil a rappelé que la collecte des données de santé est considérée comme étant particulière ou sensible au regard du RGPD, et que leurs traitements sont en principe interdit, sauf pour certaines exceptions et bases légales, dont le consentement.

 

Afin de collecter ces données, les cookies sont utilisés par les sites internet. Un fichier sera alors déposé dans l'ordinateur au moment d'une consultation du site Doctissimo. Ce qui permet par la suite, de conserver certaines informations : le site en question pourra alors suivre les actions de navigation de l'internaute.

 

La qualité juridique de Doctissimo

 

Tout comme il est indiqué dans les mentions légales du site internet, Doctissimo.fr est un éditeur devant, par son rôle actif, avoir connaissance et contrôler le contenu qui est diffusé sur son site. C'est un principe qui est rappelé par la Cour de justice de l’Union européenne (ci-après CJUE), dans son arrêt Grande Chambre, 12 juillet 2011, L’Oréal et autres/eBay international et autres.

 

De même, au regard de la précédente délibération n° 2013-378 du 5 décembre 2013 de la Cnil, les éditeurs de sites internet qui recueillent les données personnelles de leurs utilisateurs sont considérés comme étant des responsables du traitement au sens de l’article 82 de la LIL et l’article 24 du RGPD.

 

Ces différents statuts du site Doctissimo engendrent alors différentes obligations à respecter.

 

Les obligations et la responsabilité du site Doctissimo

 

En vertu, de l’article 82 de la LIL, le site Doctissimo qui propose des services d’abonnement à ses utilisateurs, se doit alors de les informer de manière « claire et complète » de la finalité du traitement ainsi que des moyens dont ils disposent pour s’y opposer.

 

De même, la société Doctissimo, est responsable du traitement. De ce fait, il est soumis à certaines règles à respecter pour assurer sa conformité au RPGD. Et c'est à travers ces nombreuses règles que la Cnil a identifié certains manquements au RGPD et à la LIL.

 

En effet, la collecte des données personnelles doit être licite. Ce qui, au regard du RGPD, amène à concevoir une collecte effectuée dans le respect du principe de responsabilisation (accountability).

 

De ce fait, une collecte ne peut être réalisée qu’en fonction d’une base légale, dont le consentement, qui en l'espèce n’a pas été respecté par le site Doctissimo.

 

Pour être valablement recueilli par le responsable du traitement, le consentement de l’utilisateur doit être recueilli de façon « libre, éclairé, univoque et spécifique ».

 

Cependant, au regard de l’article 9 du RGPD, il s’avère que le site en question, ne s’assurait pas que l’utilisateur consentait et avait conscience du traitement de ses données de santé.

 

La durée de conservation des données de l’utilisateur n’était tout aussi pas respectée, car au regard de l’objectif poursuivi par le site, cette conservation ne répondait pas au strict besoin de l’entreprise.

 

La responsabilité conjointe, au terme de l’article 26 du RGPD, est aussi un point soulevé par la Cnil dans les manquements retenus par elle. Du fait qu’il n’existait aucun accord qui permettrait, en l'occurrence, d’identifier de manière limpide les autres responsables du traitement et « leurs rôles respectifs ». 

 

Finalement, la Cnil relève un manquement à la sécurisation des données personnelles. Le système informatique de Doctissimo semblant en effet sujet à des risques d’attaques informatiques ou de fuites.

 

Les cyberattaques dont à fait l’objet Docissimo seraient dues à une obsolescence des systèmes informatiques : une obsolescence provoquée par un réel contraste « entre les obligations prévues par la loi informatique et libertés et le RGPD en matière de protection des données et ce qui est réellement mis en place en pratique ».

 

Une solution suivant un fil jurisprudentiel en matière de consentement

 

Dans le cadre des cookies, la sanction de la Cnil du site Doctissimo n’est pas nouvelle comme le présente d’ailleurs, l’affaire des cookies relative aux sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED. Dans la même logique, la Cnil s’est tout aussi prononcée sur le site web de la société TikTok, qui à l’aune de l’article 82 de la LIL, ne respectait pas les règles en matière de cookies.

 

Au regard de ces sanctions relatives aux cookies, il en ressort que plusieurs conditions doivent a fortiori être respectées pour recueillir valablement le consentement de l’internaute.