CNIL – Doctissimo – SAN-2023-006

Décision

Autorité:

CNIL ou équivalent

Numéro:

SAN-2023-006

Nom:

Doctissimo

Date:

11 mai 2023

Pays:

France

Lien:

Cliquer ici

Contexte

Le 26 juin 2020, la CNIL a été saisie d’une plainte n° […] par l’association PRIVACY INTERNATIONAL concernant l’ensemble des traitements de données à caractère personnel des utilisateurs mis en œuvre par la société DOCTISSIMO sur son site web. Le rapport de l'enquête menée par la CNIL proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société, ainsi qu’une injonction, assortie d’une astreinte de mettre en conformité le traitement avec les dispositions des articles 5-1-e) et 32 du RGPD et de l’article 82 de la LIL. S'agissant de l'article 5-1-e), il est reproché à Doctissimo d'avoir conservé - par le biais d'un sous-traitant - des données relatives à des "quizz" pendant une durée excessive au regard de la finalité statistique pour laquelle elles sont traitées. Doctissimo tente de pointer son sous-traitant du doigt.

Apport(s)
Suivi des instructions contractuelles par le sous-traitant - Contrôle par le responsable de traitement - Obligation Extrait(s) pertinent(s)33. Si le responsable de traitement peut décider de recourir à un prestataire spécialisé, en particulier en lui confiant une mission de sous-traitance des données à caractère personnel, au sens du RGPD, il reste tenu de veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Le caractère suffisant de ces diligences dépend notamment des compétences et des moyens du responsable de traitement. La formation restreinte rappelle que la responsabilité du responsable de traitement peut être retenue du fait de l’absence de mise en œuvre par celui-ci d’un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant (CE, 10ème chambre, 26 avril 2022, Société Optical Center, n° 449284). La formation restreinte a notamment retenu la responsabilité d’un responsable de traitement pour ne pas avoir exercé un contrôle suffisant sur la prestation réalisée en considérant qu’un simple engagement contractuel de son courtier visant à " respecter le RGPD et les règles applicables en matière de prospection commerciale " n’est pas une mesure suffisante, dans sa délibération SAN-2022-021 du 24 novembre 2022 à l’encontre de la société […]. Article(s) du RGPD Article 28 – Sous-traitant Fait référence à > CE – Optical Center – 449284 > CNIL – EDF – SAN-2022-021 Autres informations
Traitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation Extrait(s) pertinent(s)56. En deuxième lieu, en l’absence d’autres conditions mobilisables pour permettre ledit traitement au cas d’espèce au titre de l’article 9-2-b) à j) du RGPD, la formation restreinte considère qu’un tel traitement ne peut être mis en œuvre que sur la base du consentement explicite de la personne concernée, au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9-2-a) du RGPD. La formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données de santé. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données de santé, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservés par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement. Article(s) du RGPD Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée Fait référence à Autres informations

Apport(s)

Suivi des instructions contractuelles par le sous-traitant - Contrôle par le responsable de traitement - Obligation

Extrait(s) pertinent(s)33. Si le responsable de traitement peut décider de recourir à un prestataire spécialisé, en particulier en lui confiant une mission de sous-traitance des données à caractère personnel, au sens du RGPD, il reste tenu de veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Le caractère suffisant de ces diligences dépend notamment des compétences et des moyens du responsable de traitement. La formation restreinte rappelle que la responsabilité du responsable de traitement peut être retenue du fait de l’absence de mise en œuvre par celui-ci d’un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant (CE, 10ème chambre, 26 avril 2022, Société Optical Center, n° 449284). La formation restreinte a notamment retenu la responsabilité d’un responsable de traitement pour ne pas avoir exercé un contrôle suffisant sur la prestation réalisée en considérant qu’un simple engagement contractuel de son courtier visant à " respecter le RGPD et les règles applicables en matière de prospection commerciale " n’est pas une mesure suffisante, dans sa délibération SAN-2022-021 du 24 novembre 2022 à l’encontre de la société […].
Article(s) du RGPD Article 28 – Sous-traitant
Fait référence à > CE – Optical Center – 449284
> CNIL – EDF – SAN-2022-021
Autres informations

Traitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation

Extrait(s) pertinent(s)56. En deuxième lieu, en l’absence d’autres conditions mobilisables pour permettre ledit traitement au cas d’espèce au titre de l’article 9-2-b) à j) du RGPD, la formation restreinte considère qu’un tel traitement ne peut être mis en œuvre que sur la base du consentement explicite de la personne concernée, au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9-2-a) du RGPD. La formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données de santé. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données de santé, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservés par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.
Article(s) du RGPD Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel
Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée
Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
Fait référence à
Autres informations

Références

Cette décision cite...

> CNIL – EDF – SAN-2022-021

24 novembre 2022

> CE – Optical Center – 449284

26 avril 2022

> CE – Société Editions Croque Futur – 412589

6 juin 2018

> CNIL – FREE – SAN-2021-021

28 décembre 2021

Cette décision est citée par...

Signaler une erreur / Faire une suggestion