01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

La CNIL sanctionne le domaine du Coaching et de l’e-santé

e sante


Dans une délibération de sa formation restreinte n°2014-261, la CNIL a prononcé le 26 juin 2014 une sanction publique à l’encontre d’une Société de coaching alimentaire pour défaut d’information, défaut de sécurité et de confidentialité des données et défaut de coopération.

En l’espèce, la société en cause proposait un service de suivi de régime en ligne selon une célèbre méthode d’amaigrissement. Cette société permettait via une inscription sur son site Internet, l’accès à un programme personnalisé comportant des conseils adaptés à leurs profils alimentaires, une messagerie privée permettant d’échanger avec une diététicienne, une plateforme de chat et un forum ou encore des vidéos d’exercice physique.

Lors du contrôle, les services de la CNIL se sont attachés à vérifier la conformité des traitements de données à caractère personnel mis en œuvre. Un deuxième contrôle a été diligenté un mois plus tard afin de permettre aux services de la CNIL de vérifier de manière spécifique les aspects techniques des traitements.

Suite à ces deux contrôles, plusieurs demandes complémentaires ont été adressées afin de vérifier qu’elle mettait en œuvre un niveau suffisant de sécurité et de confidentialité des données collectées auprès de ses clients.

Faute de réponses satisfaisantes, une procédure de sanction à l’encontre de la société a été engagée après un troisième contrôle.

Dans sa délibération, la CNIL inflige un avertissement à la société poursuivie avec publication de ladite sanction. Cette décision permet la mise en évidence de 4 obligations résultant de la Loi Informatique et Libertés de 1978.

1. L’obligation d’informer les personnes lors de la collecte de leurs données

Le premier grief de la CNIL est le constat d’un manque d’information des clients concernant les traitements mis en œuvre, en violation de l’article 32 de la Loi Informatique et Libertés.

Lorsqu’un traitement de données à caractère personnel est mis en œuvre, l’article 32 de la loi IEL exige en effet que les personnes concernées soient informées :

– de l’identité du responsable du traitement ;
– de la finalité du traitement des données ;
– du caractère obligatoire ou facultatif des réponses ;
– des conséquences éventuelles d’un défaut de réponse ;
– des destinataires des données ;
– des conditions d’exercice des droits d’accès, de rectification, d’opposition pour motifs légitimes, d’opposition à la prospection commerciale ;
– le cas échéant, des transferts de données envisagés à destination d’un État non membre de la Communauté européenne.

En l’espèce, la CNIL constate que la Société de coaching contrôlée n’a pas respecté ses obligations pendant plus de deux ans alors même que cette information ne présentait aucune difficulté technique ni aucun coût de mise en œuvre particulier.

Premier enseignement :

Tout responsable de traitement doit apporter la preuve qu’il informe les personnes dont il collecte et traite des données à caractère personnel de l’existence de son traitement et des modalités de sa mise en œuvre en respectant les dispositions de l’article 32 de la Loi Informatique et Libertés.

Cela passe notamment par l’apposition de mentions spéciales au bas des formulaires de collecte et dans une politique de confidentialité.

2. L’obligation d’assurer la sécurité et la confidentialité des données

En application de l’article 34 de la loi informatique et libertés, chaque responsable de traitement est tenu de prendre toutes précautions utiles, au regard de leur nature et des risques présentés par le traitement, pour préserver leur sécurité et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

En conservant les mots de passe de ses clients et prospects en clair dans sa base de données, en collectant des données à caractère personnel sur des formulaires du site sans sécurisation, la société contrôlée n’avait pas mis en œuvre les mesures correctives préconisées par la CNIL.

Deuxième enseignement :

La constitution de fichier client à partir d’un site web suppose la mise en place de procédés de sécurité dont doit être en mesure de justifier le responsable de traitement afin d’assurer la confidentialité et l’intégrité des données qu’il collecte.

Cela passe notamment par la mise en place d’un « référentiel sécurité » englobant à la fois des mesures de sécurité physique et logique.

3. L’obligation de confidentialité des données gérées par un sous-traitant

Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34.

En l’espèce, le contrat conclu par la société contrôlée avec un prestataire de campagnes d’emailing ne comportait pas de clause spécifique à cet effet. Suite aux recommandations de la CNIL, les contrats ont été modifiés. La CNIL n’a donc pas retenu ce manquement à l’article 35 de la loi du 6 janvier 1978 modifiée.

Troisième enseignement :

Tout responsable de traitement doit s’assurer que son sous-traitant qui intervient sur les données collectées apporte des garanties suffisantes pour assurer la sécurité et la confidentialité de celles-ci.

Le contrat liant le sous-traitant au responsable du traitement doit à ce titre comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

4. L’obligation de coopération avec la Commission

L’article 21 de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit une obligation de coopération envers la CNIL, en sa qualité d’autorité administrative indépendante.

En l’espèce, la CNIL a accompagné la société contrôlée pour assurer une mise en conformité de ses fichiers clients/prospects. Or, cette Société n’a pas satisfait à l’ensemble des demandes de la CNIL dans les délais impartis malgré plusieurs rappels, ce qui constitue un manquement à l’article 21.

Quatrième enseignement :

La coopération avec la CNIL est essentielle en cas de contrôle. L’attitude de la Société contrôlée, les délais de réponse, la précision et l’effectivité des réponses apportées aux contrôleurs constitueront ainsi des éléments déterminants en prévision d’une éventuelle relaxe.

Conclusions :

Afin de se prémunir contre ce type de sanction dont le caractère public génère invariablement des effets désastreux vis-à-vis de la clientèle, les acteurs de l’e-santé et plus généralement du e-commerce auront tout intérêt à procéder en amont à un audit des différents traitements mis en œuvre dans le cadre de leur activité .

Au-delà de la sécurisation juridique, cet audit aura pour vertu d’envisager des mesures de consolidation également propices à un renforcement de la confiance des internautes.

Le cabinet HAAS, labélisé par la CNIL pour ses missions d’audit et de formation est à votre disposition pour répondre à vos questions. N’hésitez pas à nous contacter en cliquant ICI.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com