Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 15 mai 2023

Données personnelles

Données de santé et cookies : la CNIL prononce une sanction de 380 000 euros à l’encontre de la société Doctissimo

• À la suite d’une plainte de l’association PRIVACY INTERNATIONAL, la CNIL a effectué quatre contrôles chez DOCTISSIMO, une entreprise qui exploite le site web doctissimo.fr. Ce site propose principalement des articles, des tests, des quiz et des forums de discussion axés sur la santé et le bien-être, destinés au grand public.
  Au cours de son enquête, la CNIL a constaté plusieurs violations, notamment en ce qui concerne la durée de conservation des données, la collecte de données de santé via des tests en ligne, la sécurité des données et les modalités de dépôt de cookies sur les appareils des utilisateurs.
  En conséquence, la formation restreinte de la CNIL, chargée de prononcer des sanctions, a infligé deux amendes à Doctissimo :
  • Une amende de 280 000 euros pour des violations du RGPD. Cette amende a été imposée en collaboration avec les homologues européens de la CNIL dans le cadre du guichet unique, car le site web reçoit des visiteurs de tous les États membres de l’Union européenne.
  • Une amende de 100 000 euros pour une violation de l’utilisation des cookies (article 82 de la loi Informatique et Liberté). Dans ce cas, la CNIL est seule compétente pour agir.
  La CNIL a pris en compte la nature et la gravité des violations, les catégories de données personnelles (données de santé), le nombre de personnes concernées ainsi que la situation financière de la société pour déterminer le montant des sanctions. Elle a également tenu compte du fait que, en raison de la nature de ses activités liées à la diffusion de contenus numériques sur la santé, la société aurait dû faire preuve d’une vigilance particulière lors de la collecte du consentement des individus pour la collecte de leurs données de santé.
  Pour rappel, selon l’article 9 du RGPD, le traitement des données personnelles révélant des informations sur la santé d’une personne est interdit, sauf dans certaines conditions spécifiées à l’article 9-2-a) à j) du RGPD.
  Les violations sanctionnées comprennent :
  • La conservation excessive des données des tests effectués par les utilisateurs, ainsi que des données des utilisateurs inactifs depuis plus de trois ans.
  • L’absence de mécanisme de recueil du consentement des individus pour la collecte de leurs données de santé lors des tests en ligne.
  • Le non-respect des obligations contractuelles liées aux traitements de données effectués avec d’autres entités.
  • Le non-respect des mesures de sécurité des données personnelles, notamment l’utilisation d’un protocole de communication non sécurisé et la conservation insuffisamment sécurisée des mots de passe des utilisateurs.
  • Le dépôt de cookies publicitaires sur les appareils des utilisateurs sans leur consentement et malgré leur refus.
  La société Doctissimo a pris des mesures pour se conformer aux exigences sur toutes les violations, ce qui a conduit à la clôture de la procédure par la CNIL.
  Spécialement sur le sujet de dépôts de cookies, la formation restreinte de la CNIL conclut que la société Doctissimo a privé les utilisateurs de leur droit de choisir l’installation de traceurs sur leur appareil en permettant le dépôt d’un cookie publicitaire sans obtenir leur consentement préalable.
  Cette action a durablement affecté plusieurs millions de personnes, compte tenu du grand nombre de visiteurs uniques sur le site web. Cependant, la société Doctissimo a démontré qu’à partir du 29 août 2022, aucun cookie autre que strictement technique n’est déposé sans consentement. Par conséquent, aucune injonction ne sera adressée à la société pour cette question, mais elle reste responsable de ses actions passées malgré les mesures prises pour se conformer aux règles. (CNIL, 17 mai 2023, Doctissimo)

Données génétiques – traitements algorithmiques : loi relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions

• Le Conseil constitutionnel a rendu sa décision concernant la loi sur les Jeux Olympiques et Paralympiques de 2024 et d’autres dispositions.
  Les dispositions contestées concernent l’autorisation de comparer les empreintes génétiques et d’examiner les caractéristiques génétiques des sportifs par un laboratoire accrédité par l’Agence mondiale antidopage en France. Les députés requérants estiment que ces dispositions portent atteinte au droit au respect de la vie privée et au principe de sauvegarde de la dignité de la personne humaine.
  Cependant, le Conseil constitutionnel conclut que ces dispositions ne sont pas contraires au droit au respect de la vie privée, car elles sont justifiées par la protection de la santé des sportifs et la loyauté des compétitions. De plus, ces analyses génétiques sont strictement encadrées, anonymisées et limitées aux seules parties du génome pertinentes.
  La décision du Conseil constitutionnel porte également sur l’article de la loi permettant le traitement algorithmique des images collectées par des systèmes de vidéoprotection ou de caméras aériennes dans le cadre des manifestations sportives, récréatives ou culturelles. Les députés requérants estiment que ces dispositions portent atteinte à la liberté d’aller et de venir, au droit de manifester, à...