C’est, pour ainsi dire, l’équivalent d’une tape sur les doigts. Mercredi 17 mai 2023, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir pris une sanction à l’encontre de Doctissimo, célèbre site spécialisé dans la santé et le bien-être. Mais, le montant de l’amende retenu apparaît en décalage avec les fautes commises par la plateforme.
L’autorité administrative a retenu une sanction globale de 380 000 euros contre Doctissimo, qui se compose en fait de deux volets : le premier concerne des manquements au Règlement général sur la protection des données (RGPD). Ici, la peine s’élève à 280 000 euros. Le second est lié aux règles des cookies. Dans ce cas, la peine est de 100 000 euros.
Les infractions relevées par la Cnil sont multiples :
- Les données de santé des internautes ont été conservées trop longtemps ;
- Le consentement des individus n’a pas été recueilli pour collecter leurs données de santé ;
- Les données personnelles n’ont pas été correctement protégées ;
- Une absence de contrat entre Doctissimo et des sociétés partenaires, alors que des traitements de données personnelles étaient en jeu ;
- Des cookies publicitaires étaient déposés chez l’internaute, sans son consentement, dès son arrivée sur le site, mais aussi lorsqu’il cliquait sur le bouton « Tout refuser ».
Une sanction relativement modeste à l’encontre de Doctissimo
La variété des faits reprochés contraste avec la sanction, qui semble bien modeste en comparaison. La Cnil, pourtant, souligne dans son communiqué la gravité de la situation.
Des données de santé sont en cause, par exemple. Or, celles-ci appartiennent à la catégorie des données sensibles, qui bénéficient en principe d’un cadre bien plus protecteur que des données personnelles classiques. La Cnil pointe également la fréquentation de Doctissimo — son audience atteint des « centaines de millions d’internautes », lit-on dans le communiqué.
La Cnil estime par ailleurs que Doctissimo « aurait dû faire preuve d’une vigilance particulière quant au recueil du consentement des personnes pour collecter leurs données de santé », compte tenu du secteur dans lequel le site opère. Elle dit aussi avoir tenu compte de la « situation financière de la société », qui n’est pas précisée dans la délibération de la Cnil, mais s’avère mauvaise.
Doctissimo appartenait, au moment des faits, au groupe TF1 jusqu’au 28 juin 2022. La chaîne française avait un chiffre d’affaires annuel de plus de 2,4 milliards d’euros en 2021. Doctissimo a été cédé à la société Unify, détenue par Reworld Media. Son chiffre d’affaires pour 2021 frôle les 497 millions d’euros, avec un résultat net de plus de 42 millions d’euros.
En principe, rappelle la Cnil, les amendes administratives « doivent être à la fois dissuasives et proportionnées ». L’autorité dit avoir aussi tenu compte du fait que le site s’est mis en conformité sur l’ensemble des manquements. Elle a aussi relevé que la sanction contre Doctissimo passe également par la divulgation publique de la sanction, à travers ce communiqué.
Le RGPD offre potentiellement à la Cnil la capacité d’infliger des sanctions pouvant être très élevées — jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel (le choix se fait sur le montant le plus élevé). Ce sont des plafonds. La Cnil a ensuite la liberté de déterminer le montant qui lui semble adéquat, en fonction de critères à charge et à décharge.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
