Le 26 juin 2020, l’ONG britannique Privacy International a déposé une plainte auprès de la CNIL à l’encontre du site Doctissimo, détenu par le groupe TF1. D’après l’ONG le site ne respecterait pas le devoir de transparence imposé par l’article 6 du RGPD pour le traitement de données à caractère personnel et a fortiori quand il s’agit de données sensibles comme les données de santé.
Les personnes concernées ne recevraient pas une information suffisante sur l’utilisation de leurs données et les modalités d’exercice de leurs droits.
En outre, Doctissimo ne respecterait pas non plus le principe de minimisation des données, qui impose de ne collecter que les données strictement nécessaires à l’objectif poursuivi par le traitement, et ne recueillerait pas le consentement des utilisateurs aux cookies.
Le site a également recours au RTB (real time bidding), qui signifie « enchères en temps réel ». Le RTB, aussi désigné sous le nom de publicité programmatique, est un système d’enchères ouvert à tous les annonceurs, leur permettant d’acquérir un espace publicitaire en proposant la publicité la plus ciblée et en étant le mieux offrant. Il fait donc intervenir de nombreux tiers sur la plateforme. Selon le rapport publié par l’ONG, Privacy International, Doctissimo fait intervenir des tiers tels que des sites sur la santé mentale engagés dans la publicité programmatique. Par exemple, dans le cadre d’une demande de pré-offre aux enchères en temps réel, Doctissimo envoie des mots clés (tels que « dépression » et « déprimé »), l’URL de la page, des informations concernant le contenu de la page à une page cloud hébergée par Google qui traitera la demande.
L’ONG attend une sanction forte de la part de la CNIL, les données traitées par le site étant sensibles. Enfin, il faut remarquer que cette affaire intervient après l’ouverture de l’enquête concernant une autre plainte de l’ONG à l’encontre de Criteo également spécialisé dans le domaine publicitaire, et dont la CNIL est l’autorité chef de file. Un mouvement s’amorce au sein de l’UE alors que cinq enquêtes sont en cours dans trois pays différents visant Quantcast pour l’Irlande et Acxiom, Experian et Equifox pour le Royaume-Uni.