Privacy International (PI) a déposé, vendredi 26 juin, auprès de la Commission nationale de l’informatique et des libertés (Cnil), une plainte contre le site Doctissimo, accusé de ne pas respecter le RGPD. Cette démarche juridique fait suite à des révélations publiées à l’automne.
En septembre 2019, l’ONG a publié un rapport accusant déjà le site médical français de gestion frauduleuse des données personnelles de ses utilisateurs. Dix mois plus tard, rien n’a changé.
NOUVEAU: Suite à notre rapport "Your mental health for Sale" dévoilant les pratiques abusives de certains sites dédiés à la santé, PI soumet une plainte à la @CNIL contre @doctissimo
La plainte en français en bas de cette page: https://t.co/7tRgmfMV8k
— Privacy International (@privacyint) July 1, 2020
Une « enquête approfondie sur le respect du RGPD »
Les chefs d’accusation sont pourtant lourds, notamment du fait du caractère sensible des données de santé.
PI soutient que Doctissimo « n’a pas de base légale pour le traitement des données personnelles, car les conditions d’un consentement valide ne sont pas remplies ; ne respecte pas les principes […] de transparence, d’équité, de légalité, de limitation des finalités, de minimisation des données, d’intégrité et de confidentialité ; ne respecte pas ses obligations en termes de protection des données par conception, par défaut […] et de sécurité de traitement ; ne respecte pas la loi en ce qui concerne l’utilisation de cookies. »
En résumé, le site « doit faire l’objet d’une enquête approfondie sur le respect des droits, obligations et garanties du RGPD ».
Pourquoi saisir la Cnil ?
L’ONG veut que le gendarme français « prenne des mesures d’application appropriées et opportunes afin de protéger les individus contre les violations à grande échelle de la loi ».
La Cnil, une fois saisie, ouvre une enquête. Au terme de laquelle, elle peut condamner l’entreprise à une amende. En janvier dernier, Google a ainsi été sanctionné à hauteur de 50 millions d’euros.
Contacté par Le Monde, le groupe TF1 qui détient le site médical numéro un en France a réagi :
« La sécurité des données personnelles de nos internautes est la priorité de Doctissimo. C’est pourquoi nous prenons toutes les mesures pour assurer l’intégrité des données de nos internautes. Nous agissons ainsi conformément à notre mission, qui consiste à proposer gratuitement des contenus éditoriaux et des services de qualité, tout en assurant la sécurité des données personnelles que nous confient nos utilisateurs lorsqu’ils créent un compte Doctissimo et utilisent nos services. »
577 entreprises tierces
La saisie de la Cnil contre Doctissimo s’inscrit dans une enquête globale de PI au sujet de nombreux sites médicaux en Europe.
« De nombreux sites Web sur la santé mentale font de la publicité programmatique, un type de publicité qui repose sur le partage de nos données personnelles avec des centaines, voire des milliers d’entreprises pour éventuellement nous servir des publicités ciblées. »
En particulier, l’ONG reproche au site de vendre les informations liées à ses utilisateurs consultant des pages sur la dépression pour qu’ensuite 41 sociétés puissent les cibler.
En tout, Doctissimo se réserve le droit de partager des informations liées à ses visiteurs avec 557 entreprises différentes.
« On attend des régulateurs qu’ils prennent des sanctions et forcent cette industrie à évoluer. Cela fait deux ans que le RGPD est mis en place : une telle industrie ne peut continuer à perdurer et engranger autant d’argent de manière illégale », s’est indigné Eliot Bendinelli, expert en technologie pour PI auprès du Monde.
Sources : Privacy International et Le Monde
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
