Doctissimo

L'ONG Privacy International a déposé une réclamation à l'encontre du site web français dédié à la santé, pour plusieurs motifs, déjà énoncés lors d'un rapport publié en septembre 2019, qui n'a visiblement pas provoqué les réactions escomptées.

Après la publication d'un premier rapport l'an dernier, attestant des pratiques suspectes de plusieurs sites du monde médical parmi lesquels Doctissimo, Privacy International avait publié une seconde analyse, en février 2020, montrant que le site appartenant au groupe TF1 partageait les données personnelles des utilisateurs avec des tiers, dans un but qu'il reste à déterminer. Déçue du manque de réaction, l'ONG a décidé de saisir la Commission nationale de l'informatique et des libertés (CNIL) et de déposer plainte pour plusieurs manquements au Règlement général sur la protection des données (RGPD).

Des données sensibles transmises à des prestataires sans consentement réel des utilisateurs

Ce mercredi 1er juillet, Privacy International a donc officiellement annoncé avoir déposé une plainte, le 26 juin, auprès du gendarme français des données contre le site Doctissimo. Selon l'organisation, basée à Londres, le site web, qui fait partie des 100 plus visités en France, n'a pas réagi à sa mise en garde des précédents mois sur l'utilisation faite des données personnelles récoltées auprès des utilisateurs de la plateforme.

Privacy International reproche à Doctissimo d'avoir proposé certains questionnaires ou tests (orientés vers la psychologie) aux internautes, en profitant ainsi des réponses pour récolter des données ensuite partagées avec les prestataires tiers, responsables des questionnaires, sans se conformer aux exigences du RGPD.

La question des données de santé étant un sujet extrêmement sensible, la CNIL ne devrait pas manquer d'examiner avec attention le recours de l'ONG. Mais entrons un peu plus dans les détails de ce qu'elle reproche à Doctissimo.

Plusieurs manquements soulevés, et des risques de sanction réels

Pour Privacy International, Doctissimo n'aurait aucune base légale pour le traitement des données personnelles, et ne remplirait pas les exigences nécessaires en vue d'obtenir un consentement valable des internautes sur l'utilisation de leurs données. Si le motif de ce partage des données n'est pas clair, une commercialisation de ces dernières est surement redoutée par l'organisation.

En outre, Doctissimo ne respecterait pas la loi notamment en ce qui concerne l'utilisation des cookies. L'ONG affirme avoir découvert que le site déposerait certains cookies chez les utilisateurs, alors même que ces derniers n'ont pas consenti à la pratique. Ce qui permet leur suivi publicitaire.

Plus largement et pour Privacy International, Doctissimo bafouerait les principes de transparence, de légalité, d'équité, de limitation de la finalité, de confidentialité, d'intégralité et de minimisation des données, des principes tous protégés par le RGPD.

La CNIL doit désormais étudier la plainte de l'organisation et décider de procéder à un contrôle soit sur place, au siège du site, soit en ligne, soit sur convocation pour auditionner ses dirigeants ou bien sur pièce. Si des manquements majeurs sont constatés, Doctissimo (le groupe TF1 par ricochet) risque une amende pouvant atteindre jusqu'à 4% du chiffre d'affaires mondial de l'entreprise.