[ARTICLE]
Un site d’information spécialisé dans le domaine de la santé et du bien-être (ci-après dénommé « le responsable de traitement ») a été condamné à une amende d'un montant de 380 000 euros par la Commission nationale de l'informatique et des libertés (CNIL) le 11 mai 2023 en raison de plusieurs manquements au Règlement général de protection des données* (RGPD) et à la Loi Informatique et Libertés** (LIL).
Le RGPD définit les données personnelles de santé dans son article 4 comme « les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique ». Elles font l'objet d'une protection particulière dès lors qu’elles sont considérées comme des données dites « sensibles ». En effet, les traitements de données sur la santé des personnes peuvent avoir des conséquences et entraîner des risques graves sur la vie privée et pour les droits et libertés des personnes.
Dans cette affaire, quatre manquements au RGPD sont reprochés au Responsable de traitement sur les fondements suivants :
Durée de conservation : le Responsable de traitement conservait les données des utilisateurs collectées sur le site internet à l’occasion d’un test, pendant 24 mois puis trois mois à compter de leur réalisation. Ces durées ont été jugées excessives par la CNIL. Il est rappelé que selon la réglementation, les données collectées ne doivent l'être que pour une durée limitée et justifiée par les nécessités du traitement. Dans cette affaire, la CNIL considère que les durées de conservation ne correspondent pas au strict besoin du traitement dès lors que la collecte des données des tests devait permettre à l'utilisateur de prendre connaissance des résultats des tests et de réaliser des statistiques agrégées. De plus, les données des utilisateurs dont le compte étaient inactifs depuis plus de trois ans étaient également conservés sans procédure d’anonymisation.
Consentement : la plateforme n'avertissait pas les utilisateurs de la collecte de leurs données de santé d’une part et aucun mécanisme de recueil du consentement n'était mis en place d’autre part. Le RGPD, dans son article 9, prévoit que le traitement des données relatives à la santé doit faire l'objet d'un consentement préalable de la personne concernée dans des conditions permettant à la personne concernée de manifester une volonté libre, spécifique, éclairée et univoque.
Responsable conjoint : le Responsable de traitement traitait les données collectées conjointement avec des sociétés qui disposaient d'espaces publicitaires sur ledit site web. Cependant, les relations entre les sociétés ne faisaient pas l'objet de contrats spécifiques déterminant les différentes obligations de chacun des responsables de traitement, contrat pourtant imposé par le RGPD (article 26).
Mesures de sécurité : il est reproché au Responsable de traitement un manque de sécurité qui exposait les données personnelles à des risques de fuite ou de cyber attaques. Le manque de sécurité résidait dans l’utilisation d’un protocole « http » non sécurisé et une faible authentification pour accéder aux espaces personnels des utilisateurs.
Ces quatre manquements ont amené la CNIL à sanctionner la société en la condamnant à une amende de 280 000 euros.
En plus de la violation du RDGP, la CNIL a également sanctionné le site web au regard du non respect de l'article 82 de la loi Informatique et Libertés relatif à l'utilisation des cookies. En effet, la CNIL a constaté que des cookies publicitaires étaient déposés sans le consentement des utilisateurs du site internet. Ce dépôt concernant chaque utilisateur, des millions d'utilisateurs ont été exposés à ces cookies publicitaires contre leur volonté. Ce manquement à amener la CNIL à condamner la société à une amende de 100 000 euros.
Pour déterminer le montant de la sanction prononcée à l'encontre du Responsable de traitement, la CNIL a pris en compte plusieurs éléments :
La nature et la gravité des manquements commis;
Les catégories de données personnelles concernées (ici des données de santé);
Le nombre de personnes concernées par le traitement de données;
La situation financière de la société.
La CNIL a pris en considération le fait qu'au vu de la mission du responsable de traitement, qui est la diffusion de contenus numériques relatifs à la santé, la société aurait dû faire preuve d'une particulière vigilance quant au recueil du consentement des personnes pour collecter leurs données personnelles.
*Règlement (UE) 2016/619 pris par le Parlement Européen et le Conseil le 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. (RGPD)
**Loi 78-17 du 16 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. (LIL)
Commission Nationale de l'Informatique et des Libertés – Délibération SAN-2023-006 – 11/05 2023
Comments