MAJ du 5 juin 2023 – décision Doctissimo – cliquer ici

Les lignes directrices (délibération 2020-091) et les recommandations CNIL (délibération 2020-092) du 17 septembre 2020 viennent préciser les règles en matière de consentement, dans le prolongement de la directive ePrivacy (2002/58/CE) et des lignes directrices du Comité européen de la protection des données du 4 mai 2020 (5/2020), du RGPD et de l’article 82 de la loi Informatiques et Libertés, des précédenntes délibérations CNIL et des décisions du Conseil d’Etat.

Les traceurs non purement techniques doivent faire l’objet d’une information et d’un consentement. C’est le principe exposé à l’article 82 de la loi Informatique et Libertés.

Cela concerne en particulier les “cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d’autres technologies telles que les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc”.

Les lignes directrices précisent que ce principe s’applique indépendamment du fait que les données collectées soient à caractère personnel ou non, sans bien entendu exclure le RGPD et la loi Informatique et Liberté qui restent applicables et prioritaires sur le sujet des données à caractère personnel – “parfois directement identifiantes (par exemple, une adresse électronique) et souvent indirectement identifiantes (par exemple, l’identifiant unique associé à un cookie, une adresse IP, un identifiant du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas d’une technique de « fingerprinting », ou encore un identifiant généré par un logiciel ou un système d’exploitation)”.

Responsables conjoints :

L’ensemble des acteurs qui interviennent sur des traceurs de mesure d’audience qui traitent de données personnelles sont considérés comme responsables conjoints, et doivent respecter la règlementation française.

“Le Conseil d’Etat a jugé, dans sa décision du 6 juin 2018, qu’au titre des obligations qui pèsent sur l’éditeur de site, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire du site de l’éditeur, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements”.

En matière de sous-traitance :

“La Commission rappelle que l’éditeur d’un site qui dépose des traceurs doit être considéré comme un responsable de traitement, y compris lorsqu’il sous-traite à des tiers la gestion de ces traceurs mis en place pour son propre compte”, et “qu’un acteur qui stocke et/ou accède à des informations stockées dans l’équipement terminal d’un utilisateur exclusivement pour le compte d’un tiers doit être considéré comme sous-traitant. Elle rappelle, à cet égard, que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD”.

Consentement :

La CNIL indique que « les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide ».

Sur les cookies walls (l’utilisateur ne peut accéder au site s’il n’accepte pas les cookies), la CNIL indique que la méthode est licite mais qu’elle ne devrait pas dispenser qu’une information précise soit fournie sur les différentes finalités poursuivies par les traitements effectués, et recommande ainsi, à l’instar de ce qu’on peut déjà voir sur certains sites, qu’une information de second niveau soit fournie, permettant à l’utilisateur de personnaliser ses choix.

Une acceptation globale des conditions générales d’utilisation du site ne respecte pas le principe du consentement spécifique.

Le consentement suppose une action positive. La simple poursuite de la navigation ou l’utilisation de cases pré-cochées par défaut sont insuffisantes. Il ne s’agit pas toutefois de gêner la navigation. Le refus et le retrait du consentement doivent être facilités.

Les lignes directrices et les recommandations donnent des suggestions, des indications, des exemples.

Preuve :

La recommandation suggère des solutions en matière de conservation de la preuve du consentement, par exemple, “les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori”.

Lignes directrices
Recommandation

Droit des cookies : les recommandations CNIL

Transfert de données : l’évaluation des législations étrangères

Accompagnement sur les contrats informatiques

Consultez un avocat spécialisé en droit informatique

Doctissimo

La CNIL, Commission nationale de l’informatique et des libertés, a récemment infligé deux amendes à Doctissimo, une entreprise exploitant le site web doctissimo.fr. Les violations constatées concernent principalement la durée de conservation des données, la collecte de données de santé, la sécurité des données et les modalités de dépôt de cookies sur les appareils des utilisateurs.

La première amende s’élève à 280 000 euros pour des violations du RGPD, le Règlement général sur la protection des données. La CNIL a collaboré avec les homologues européens dans le cadre du guichet unique, car le site web reçoit des visiteurs de tous les États membres de l’Union européenne. La seconde amende est de 100 000 euros pour une violation de l’utilisation des cookies, une compétence exclusive de la CNIL.

La CNIL a pris en compte plusieurs éléments pour déterminer le montant des sanctions, notamment la nature et la gravité des violations, les catégories de données personnelles (données de santé), le nombre de personnes concernées ainsi que la situation financière de la société. La CNIL a également souligné que la société aurait dû faire preuve d’une vigilance particulière lors de la collecte du consentement des individus pour la collecte de leurs données de santé.

Il est important de rappeler que le traitement des données personnelles révélant des informations sur la santé d’une personne est interdit, sauf dans certaines conditions spécifiées par le RGPD. Les violations sanctionnées comprennent notamment la conservation excessive des données des tests effectués par les utilisateurs, ainsi que des données des utilisateurs inactifs depuis plus de trois ans. L’absence de mécanisme de recueil du consentement des individus pour la collecte de leurs données de santé lors des tests en ligne est également une violation constatée.

La CNIL a également relevé le non-respect des obligations contractuelles liées aux traitements de données effectués avec d’autres entités, ainsi que le non-respect des mesures de sécurité des données personnelles. En effet, l’utilisation d’un protocole de communication non sécurisé et la conservation insuffisamment sécurisée des mots de passe des utilisateurs sont également des violations constatées.

Enfin, la CNIL a conclu que la société Doctissimo avait privé les utilisateurs de leur droit de choisir l’installation de traceurs sur leur appareil en permettant le dépôt d’un cookie publicitaire sans obtenir leur consentement préalable. Cette action a durablement affecté plusieurs millions de personnes, compte tenu du grand nombre de visiteurs uniques sur le site web.

La société Doctissimo a pris des mesures pour se conformer aux exigences sur toutes les violations, ce qui a conduit à la clôture de la procédure par la CNIL. Cependant, elle reste responsable de ses actions passées malgré les mesures prises pour se conformer aux règles.

En conclusion, cette affaire souligne l’importance du respect des règles relatives à la protection des données personnelles, en particulier dans le domaine sensible de la santé. Les entreprises doivent être vigilantes dans la collecte du consentement des individus pour la collecte de leurs données et assurer une sécurité optimale pour ces données. La CNIL rappelle que les violations seront sanctionnées et que les personnes concernées peuvent exercer leurs droits en matière de protection des données personnelles.