Le site Doctissimo a été condamné par la Cnil à une amende de 380 000 euros pour avoir réalisé plusieurs entorses au RGPD. La décision est un signal envoyé au marché à plus d’un titre. Analyse.
La décision fait beaucoup parler dans le petit milieu du droit et du traitement des données. La Cnil a été saisie en 2020 par l’association Privacy International, qui a déposé plainte contre le site Doctissimo. Elle reprochait à l’éditeur divers points concernant l’utilisation des données personnelles. À l’époque, Doctissimo était sous le giron de TF1, en tant que membre de sa filiale digitale Unify. La société répond alors par mail le 7 juillet 2020 à la Cnil. S’ensuivront différents contrôles, que ce soit directement sur le site web ou au sein des locaux de la société. Au total, quatre procès-verbaux sont établis jusqu’en février 2021.
Au cours de l’année, la société échangera plusieurs fois avec la Cnil pour avancer sur sa mise en conformité. Le 29 novembre, soit un an et demi après le dépôt de plainte, Valérie Peugeot est désignée rapporteure pour la Cnil. En juillet 2022, soit plus de deux ans après le dépôt de plainte, la Cnil rend son rapport et la société est notifiée de ses manquements au RGPD. Elle écope d’une double amende après délibération le 11 mai 2023, lors d’une formation restreinte : une de 280 000 euros pour l’entorse au RGPD, une de 100 000 euros pour infraction à la loi Informatique et Liberté, sur l’utilisation des cookies. La somme des deux s’élève donc à 380 000 euros. Plus techniquement, un point relevé concerne le hashing de données, qui n’est pas considéré comme une totale anonymisation des données. Ce fait intéressera les légalistes techniques.
Sur la procédure
Pour certains défenseurs ardus de la vie privée sur internet, la procédure, longue, étalée sur plus de deux ans, avec quatre contrôles différents, mêlant contrôle en ligne, contrôle sur place et contrôle sur pièce, est garante du travail sérieux de la Cnil, qui a enquêté de manière fouillée : « la partie contrôle a été faite avec beaucoup d’investissement et de sérieux, et les investigations tech ont été, à mon sens du moins, de grande qualité », estime la plateforme Dinilog, qui s’est fait une spécialité de dénicher les sites non conformes à la protection des données. Le but était justement de balayer bon nombre de critiques.
Mais de l’autre côté, des avocats déplorent ces procédures longues qui pourraient devenir problématiques du point de vue du droit. « Cette procédure est symptomatique de contrôles réalisés actuellement par la Cnil. L’autorité défend l’idée de contrôle permanent. Les périmètres sont de plus en plus larges, concernent tous les traitements… Ce sont des périodes sans fin », assure Merav Griguer, avocate associée au cabinet Bird & Bird.
Placés constamment sous les yeux de l’autorité, les responsables de traitement seraient dans un flou total. « C’est le principe de la surveillance constante. À la longue, vous ne savez plus comment agir », insiste Merav Griguer. La Cnil opère sans limitation de durée, sans information claire sur le planning. « Ce qui pourrait poser des questions de droit, puisque personne ne sait au départ combien de temps elle garde les documents, qui relèvent parfois des données personnelles. Elle va donc à l’encontre du principe qu’elle défend de clarté quant à la durée de conservation des données », ajoute l’avocate.
Autre point qui inquiète le milieu, la Cnil effectue pendant toute la durée de la procédure des contrôles croisés, c’est-à-dire qu’elle enquête également sur d’autres entreprises, liées à l’entreprise première, et peut ainsi utiliser des documents ou des faits relatifs à d’autres procédures pour nourrir la première. « Cela ne va-t-il pas à l’encontre du principe de minimisation des données ?, s’interroge Merav Griguer. La Cnil est comme un tribunal, elle est régie par une procédure qui doit respecter des principes fondamentaux. Ne se met-elle pas en danger vis-à-vis des principes qu’elle défend ? » Par comparaison, c’est comme si la police venait perquisitionner chez vous, puis sans savoir véritablement si elle a trouvé des preuves, des mois plus tard, venait également chercher chez vos contacts ou votre famille pour trouver d’autres preuves. Plusieurs avocats commencent à s’interroger sur le bien-fondé de ces procédures de contrôles longues, qui, de plus, empêchent les entreprises d’avoir des trames claires pour se plier au droit.
Lire aussi : La Cnil change de ton avec les entreprises de la tech
Une lenteur de procédure que les hacktivistes du droit sur le net critiquent également, car selon eux, les preuves de non-conformité sont souvent flagrantes et nombreuses sur les sites des éditeurs. Si le manque de moyen de la Cnil est souvent remis en cause, certains dénoncent sarcastiquement un manque de volonté. Un sujet qui a été remis sur la table pour les cinq ans de la mise en place du RGPD, et le bilan des sanctions.
Sur le montant de l’amende
Parmi les critiques faites sur la décision Doctissimo, l’amende a donné du grain à moudre aux deux camps. Les opposants estiment que ce n’était clairement pas assez au regard de l’appartenance du site au groupe Reworld Media (depuis juillet 2022), dont le chiffre d’affaires était de 496,8 millions d’euros en 2021, avec un résultat net de 42 millions d’euros. L’amende représente donc une légère fraction du chiffre d’affaires, bien loin des 4% prévus par le RGPD. Mais d’autres l’estiment plutôt sévère. Car ces performances étaient toutes différentes pour Doctissimo, dont la Cnil souligne le résultat négatif en 2021 : la société perdait clairement de l’argent. Alors faut-il prendre en compte l’entreprise ou le groupe auquel elle appartient ? Sanctionner le groupe ne reviendrait-il pas à sanctionner les autres entreprises pour des faits qu’elles n’ont pas commis ? On ne prend pas en compte les revenus de votre famille éloignée pour calculer une pension familiale à verser.
La Cnil semble ici avoir considéré Doctissimo comme un responsable de traitement autonome. Une idée renforcée par le fait que le site appartenait à un autre groupe (TF1) au moment des faits. « On peut même l’estimer élevée si on considère que le site a fait preuve de bonne foi, et de la coopération qu’il a montrée au long des plus de deux ans de procédure », insiste l’avocate. Une sévérité, dès lors qui pourrait prendre son sens dans la « vertu pédagogique et informative » de la sanction, que l’autorité relève pour justifier de la publicité de la sanction. Elle souligne de surcroît que le site traitait particulièrement de données de santé, et a voulu marquer l’importance de ce type de données.
Quoi qu’il en soit, les deux camps restent sur leur faim. « On ne comprend toujours pas le réel calcul de l’amende, ni les justifications précises », argue Merav Griguer. Certains évoquent une décision floue, qui crée une réelle insécurité juridique pour les entreprises. Finalement, n’est-ce pas une bonne punition qu’une punition qui ne met personne d’accord ?