Le 11 mai 2023, la formation restreinte de la Cnil a prononcé une sanction pécuniaire d’un montant de 380 000 euros à l’encontre de la société éditant un célèbre site web spécialisé dans l’information en matière de santé et bien-être (Cnil, Délibération SAN-2023-006 du 11 mai 2023).
L’entité sanctionnée a fait l’objet de nombreux contrôles initiés à la suite d’une plainte de l’association Privacy International en 2020 (deux contrôles en ligne, contrôle sur place et un contrôle sur pièces).
Un manquement aux dispositions de la loi informatique et Libertés sur les cookies a été retenu. Quatre manquements au RGPD ont également été retenus par la formation restreinte de la Cnil, à savoir :
- un manquement à l’obligation d’assurer la sécurité des données personnelles,
- un manquement à l’obligation de conserver les données pour une durée limitée,
- l’absence d’encadrement par contrat des traitements effectués avec un autre responsable de traitement ; et enfin
- pour n’avoir pas recueilli le consentement des personnes pour la collecte de leurs données de santé.
La formation a également décidé que la sanction sera publique pendant une durée de deux ans.
Quels sont les enseignements de cette délibération ?
Des précisions sur la notion de « données de santé »
Au sens du RGPD, les données concernant la santé sont définies comme : « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (RGPD, article 4-15)
Les données concernant la santé appartiennent aux catégories particulières de données dont le traitement est, par principe, interdit sauf exceptions définies à l’article 9 du RGPD.
Rappelons que, le 1er août 2022, la Cour de Justice de l’Union Européenne (CJUE) s’est prononcée en faveur d’une interprétation large des catégories particulières de données. Ainsi, la Cour a-t-elle considéré que la publication sur le site des autorités lituaniennes du nom du conjoint d’une personne physique, en cela qu’elle révèle indirectement son orientation sexuelle, constitue bien un traitement portant sur des catégories particulières de données au sens de l’article 9 du RGPD (CJUE, 1er août 2022, Aff. C‑184/20).
En l’espèce, il s’agissait de déterminer si les réponses aux questionnaires disponibles sur le site web de la société sanctionnée tels que « Où en êtes-vous avec l’alcool ? », « Et si c’était de l’asthme ? », « Varices : êtes-vous à risque ? » ou encore « Patients hypertendus : faites-vous assez de sport ? » pouvez constituer un traitement de données concernant la santé dont le traitement est soumis aux conditions dudit article 9 du RGPD.
La rapporteure soutenait que « (…) la société traite des données de santé lorsque les personnes répondent aux différents questionnaires ayant pour thème la santé qui leur sont proposés sur le site [web]. » sans recueillir au préalable le consentement des personnes concernées (Points 49 et 50 de la délibération).
Tout en ayant procédé à des modifications destinées à recueillir le consentement des personnes concernées répondant aux questionnaires précités alors qu’un contrôle en ligne de la Cnil avait déjà eu lieu, la société a soutenu que le champ matériel de la notion de « données de santé » n’est pas défini par le RGPD. Elle a également soutenu qu’elle ne pouvait pas identifier les personnes concernées dans la mesure où elle ne disposait que d’adresses IP hachées.
Si la qualification en « données de santé » des réponses aux questionnaires ne parait pas évidente pour certains acteurs, la formation restreinte de la Cnil affirme que la société traite bien des données concernant la santé au sens du RGPD puisque lesdites réponses lui permettre de connaitre des antécédents médicaux ou encore l’état physiologique de personnes physiques. De plus, les réponses aux questionnaires associées à l’adresse IP et aux données d’un titulaire de compte en ligne permettait la réidentification des personnes concernées, la mesure de hachage mentionnée n’empêchant pas ladite réidentification.
Il semble donc résulter de cette délibération que, a contrario, prises isolément, sans possibilité de réidentification des personnes concernées, le traitement des réponses issues des tests aurait pu donner lieu à une solution différente.
Il faut souligner que la société sanctionnée avait sollicité la Cnil pour obtenir un conseil. Tout en rappelant les exigences accrues en matière de traitement de données sensibles (Délibération n°2016-405 du 15 décembre 2016, Délibération n°2016-406 du 15 décembre 2016), la formation restreinte souligne que la Cnil, conformément à la Charte d’accompagnement des professionnels, ne peut pas accompagner les organismes dans leur mise en conformité lorsqu’une procédure de contrôle est en cours. Néanmoins, elle peut répondre à une demande de conseil à l’issue du contrôle si aucune action répressive n’est engagée. Les conditions d’un accompagnement n’étaient donc pas réunies en l’espèce.
Focus sur certains manquements
Si les manquements en matière de sécurité de données personnelles et de recueil de consentement en matière de cookies sont relativement communs, une attention particulière peut être portée aux manquements concernant la durée de conservation et l’encadrement des traitements effectués par un autre responsable de traitement.
Dans ce contexte, une description purement générale des données faisant l’objet d’un traitement ou un renvoi à des catégories de données à caractère personnel ne correspond pas à la « copie » visée par le RGPD. En revanche, la notion de « copie » ne désigne pas nécessairement un document mais les données complètes faisant l’objet d’un traitement.
Manquement à l’obligation de conserver les données pour une durée limitée
Plusieurs durées de conservation ont été analysées.
Les réponses aux questionnaires ainsi que l’adresse IP des utilisateurs étaient conservées pendant 24 mois à compter de la réalisation des tests. La formation restreinte considère que cette durée est excessive au regard de l’article 5.1. du RGPD puisque les résultats étaient communiqués aux utilisateurs immédiatement après la réalisation desdits tests. De plus, pour la réalisation de statistiques sur l’utilisation de ces derniers, la conservation de ces données n’est pas jugée nécessaire puisqu’en l’espèce elles peuvent être effectuées aux moyens d’outils de mesure d’audience.
Notons que la société s’est prévalue d’un manquement involontaire au RGPD consécutif à une mauvaise exécution du contrat par son sous-traitant, en particulier des instructions relatives à la protection des données. En effet, le contrat conclu avec le sous-traitant prévoyait que le prestataire ne devait pas collecter les adresses IP concernant certains types de tests. Toutefois, la formation restreinte relève notamment que la société contrôlée avait connaissance de la collecte desdites adresses IP par son sous-traitant par le biais de tableaux de bord. Elle souligne aussi que la société sanctionnée ne s’est pas opposée à la solution alternative proposée par le sous-traitant d’anonymisation des adresses IP alors qu’elle avait par ailleurs demandé au prestataire de supprimer les résultats des tests après affichage.
Enfin, il était reproché à la société sanctionnée de conserver les données relatives aux comptes après inactivité (identifiant unique, nom d’utilisateur pseudonymisé). A cet égard, la formation restreinte relève que l’anonymisation alléguée par la société n’est pas effective et qu’elle était en mesure de réidentifié les personnes au moyen d’informations supplémentaires telles que les publications des utilisateurs sur les forums accessibles sur le site web.
La société s’est toutefois mise en conformité au cours de la procédure de sanction.
Un manquement à l’obligation d’encadrer la responsabilité conjointe de traitement par un contrat
La formation restreinte de la Cnil constate que la société sanctionnée s’est qualifiée de responsable conjointe avec d’autres sociétés sans encadrer cette relation par un contrat conformément à l’article 26 du RGPD.
Plus précisément, la responsabilité conjointe concerne notamment les traitements liés à la commercialisation des espaces publicitaire du site web.
Cette qualification juridique n’est pas analysée plus avant par la formation restreinte, ni remise en cause par la formation restreinte de la Cnil.
La responsabilité de la société a été retenue pour manquement à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement sur le fondement de l’article 26 du RGPD. Des avenants sont intervenus en février 2021 entre les parties pour régulariser la relation contractuelle.
En revanche, nous ignorons si la responsabilité des autres sociétés responsables conjoints sera recherchée.
Quels sont les enseignements pratiques de cette décision ?
Cette sanction permet de rappeler que les durées de conservation doivent être définies avec précision.
Elle permet aussi d’attirer une nouvelle fois l’attention des responsables du traitement qui recourent à la sous-traitance, au sens du RGPD. Ils doivent en effet veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Cela implique notamment de vérifier que les instructions données sont exécutées et de s’opposer à certaines solutions proposées si elles sont insuffisantes.
Le Conseil d’État avait déjà établi que le responsable de traitement qui n’effectue pas un contrôle régulier des mesures techniques et organisationnelles de son sous-traitant, peut voir sa responsabilité engagée. Par ailleurs, la Cnil avait déjà confirmé dans une de ces délibérations qu’un simple engagement contractuel de « respecter le RGPD et les règles applicables en matière de prospection commerciale » n’est pas une mesure suffisante. Cette sanction permet également d’appeler à la vigilance quant à l’algorithme de hachage utilisé par les acteurs, en particulier la fonction SHA256. La Cnil avait précisé que cette fonction de hachage permet d’assurer l’intégrité des données à caractère personnel. En revanche, l’usage de cette fonction sans clef de hachage ne permet pas d’assurer leur anonymisation.