Menu
Publications 12 novembre 2023

PROTECTION DES DONNEES A CARACTERE PERSONNEL – Panorama de décisions récentes de la CNIL

Retour

Parmi les décisions importantes rendues par la CNIL au cours des derniers mois, figure tout d’abord la décision de sanction rendue le 11 mai 2023 contre la société et plateforme en ligne DOCTISSIMO. Cette société exploite le site web doctissimo.fr sur lequel elle propose principalement des articles, tests, quiz et forums de discussion en lien avec la santé et le bien-être, à destination du grand public. La CNIL avait été saisie d’une plainte formulée par une association (Privacy International) qui reprochait à la société DOCTISSIMO une série de manquements à la règlementation sur les données personnelles. Après différentes opérations de contrôle, la CNIL a finalement prononcé contre DOCTISSIMO une sanction à hauteur de 380.000 euros notamment pour ne pas avoir suffisamment sécurisé son site internet et les mots de passe des utilisateurs, pour ne pas avoir pris le soin de conclure des contrats valables avec ses prestataires, ou encore pour ne pas avoir mis en place de mécanisme de recueil du consentement des utilisateurs, alors que les données collectées par le biais de questionnaires en ligne étaient en partie des données de santé qui sont considérées comme sensibles par la règlementation.

Une autre affaire concerne la société CRITEO, spécialisée dans la publicité en ligne. La CNIL a prononcé contre cette société une sanction d’un montant de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont les données étaient traitées avaient bien donné leur consentement. Pour comprendre l’enjeu de cette décision, il faut rappeler que la société CRITEO est un acteur majeur de la publicité en ligne et plus particulièrement du reciblage publicitaire.

Comme le précise la CNIL dans son communiqué de presse relatif à sa décision de sanction, le reciblage publicitaire consiste à suivre la navigation des internautes afin de leur afficher des publicités personnalisées. Pour cela, la société collecte les données de navigation des internautes grâce au traceur (cookie) CRITEO qui est déposé dans leurs terminaux lorsqu’ils se rendent sur certains sites web partenaires de CRITEO.

Or, en application de la Loi informatique et libertés, le dépôt d’un cookie sur le terminal d’un visiteur de site web requiert le consentement de ce dernier (sauf exceptions). En principe, il appartient à l’exploitant du site internet d’informer ses visiteurs en cas de recours à des cookies et de recueillir leur consentement, mais CRITEO devait s’assurer que ce consentement avait bien été recueilli et exiger de ses partenaires qu’il le prouve, ce qu’elle n’avait pas fait.

L’avis de GGV : Ces deux affaires montrent l’importance, pour toute entreprise exploitant un site internet 1/ de vérifier quelles données sont traitées à travers son site web, 2/ de s’assurer que le traitement des données ne requiert pas le consentement des personnes concernées ou de mettre en place un mécanisme de recueil du consentement, 3/ de vérifier si les mesures de sécurité requises sont mises en place pour protéger les données des utilisateurs et 4/ d’informer les visiteurs du site de tout traceur qui serait déposé sur leur terminal et recueillir leur consentement.

Dernières actualités

GGV News 18 décembre 2024
Stéphanie Zaks et son équipe rejoignent GGV Avocats pour fonder le pôle droit pénal et de la presse
Publications 20 novembre 2024
DROIT COMMERCIAL – Fraude au président (usurpation de l’identité du dirigeant) et responsabilité bancaire
Publications 19 novembre 2024
CONSTRUCTION – Revirement de jurisprudence pour l’assurance obligatoire des éléments d’équipement
Plus d’actualités

RESTEZ INFORMÉS,
ABONNEZ-VOUS À NOTRE NEWSLETTER !

Je m'abonne

Rejoignez-nous.
Nous sommes un cabinet à taille humaine, dynamique et ambitieux.

Afin de poursuivre notre croissance dynamique,nous recherchons des talents partageant les mêmes valeurs et ambitions
Voir les offres