Doctissimo condamnée à une amende de 380 000 euros par la CNIL : les enseignements RGPD en matière de données de santé

Le site internet Doctissimo propose principalement des articles, tests, quiz et forums de discussion en lien avec la santé et le bien-être.

Les manquements et les bons réflexes RGPD à adopter :

-Des durées de conservation des données personnelles excessives :

• une conservation des données relatives aux tests réalisés par les internautes pendant 24 mois à compter de leur réalisation
• une conservation des données des comptes inactifs pendant 3 ans.

Le bon réflexe RGPD : définir combien de temps vous avez besoin de conserver les données personnelles en fonction de vos services.

-Le consentement des personnes n’était pas recueilli pour collecter leurs données de santé.

Le bon réflexe RGPD : prévoir un consentement des personnes pour collecter leurs données de santé.

-Les traitements de données personnelles effectués avec un autre responsable de traitement n’étaient pas encadrés par contrats, notamment pour la commercialisation des espaces publicitaires sur le site web.

Le bon réflexe RGPD : conclure des contrats avec ses partenaires pour cadrer les obligations de chacun.

-Doctissimo a manqué à l’obligation d’assurer la sécurité des données personnelles :

• elle utilisait un protocole de communication “http” qui n’est pas sécurisé et exposait les données personnelles à des risques d’attaques informatiques ou de fuite
• elle conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé alors qu’ils permettaient d’accéder à l’espace personnel contenant notamment les nom, prénom, date de naissance, adresse mail et sexe de la personne concernée.

Le bon réflexe RGPD : revoir ses mesures de sécurité régulièrement pour s’assurer de leur efficacité.

-Un cookie publicitaire était déposé sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site et 2 cookies publicitaires étaient déposés après avoir cliqué sur le bouton “tout refuser”.

Le bon réflexe RGPD : s’assurer que les cookies publicitaires sont déposés sur le terminal de l’utilisateur seulement s’il y a consenti.

Vous cherchez un avocat RGPD pour votre mise en conformité au RGPD ? Contactez-moi.