Le Conseil d’Etat réduit la sanction de la CNIL à l’encontre d’Optical Center

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

CE, 10ème - 9ème ch. réunies, 17 avril 2019, Optical Center / Cnil

Le 17 avril 2019, le Conseil d’Etat a rendu une décision confirmant la sanction prononcée par la CNIL à l’encontre de la société Optical Center mais réduisant son montant en raison de son caractère disproportionné.

Une sanction pécuniaire prononcée par la CNIL doit notamment tenir compte du comportement du responsable de traitement suite au constat du manquement de ses obligations. En ne tenant pas compte de la célérité avec laquelle la société Optical Center a remédié aux manquements qui lui ont été reprochés, le Conseil d’Etat a considéré que la sanction infligée par la CNIL avait un caractère disproportionné et en a donc réduit le montant.

Suite à un signalement reçu par la Commission nationale de l’informatique et des libertés (CNIL) en juillet 2017, faisant état de données personnelles qui auraient été rendues librement accessibles sur le site Internet de la société Optical Center, la CNIL a diligenté une enquête.

Dans le cadre de cette enquête, la CNIL a réalisé une mission de contrôle en ligne du site internet de la société – au cours de laquelle elle a effectivement constaté que des données étaient librement accessibles sur le site internet – ainsi qu’une mission de contrôle sur place, au cours de laquelle la CNIL a constaté que l’accès aux données avait cessé.

Il résultait de l’instruction de la CNIL un manquement grave à son obligation de sécurité par Optical Center. A l’issue d’une procédure contradictoire, la CNIL a alors rendu une délibération le 7 mai 2018 par laquelle elle a prononcé à l’encontre de cette société une sanction pécuniaire d’un montant de 250 000 € et a décidé de rendre publique sa délibération pendant une durée de deux ans.

Pour prononcer sa sanction, la CNIL a notamment tenu compte des éléments suivants :

  • le manquement à l’obligation de sécurité relevait de l’absence de mesures élémentaires de sécurité et non complexes ;
  • l’ampleur du défaut de sécurité était importante car plus de 330 000 documents avaient été rendus accessibles, en ce compris des données sensibles telles que des données de santé et des numéros NIR ;
  • bien que la société avait fait preuve de réactivité et avait effectué des diligences nécessaires auprès de son prestataire pour remédier aux manquements, la CNIL avait néanmoins souligné le fait que ses services internes avaient pu accéder aux données des clients de la société lors de la mission de contrôle en ligne, ce qui caractérisait bien le manquement.

C’est dans ce contexte que par une requête en date du 25 juillet 2018, la société Optical Center a saisi le Conseil d’État aux fins d’annuler la délibération de la CNIL et, à titre subsidiaire, de réduire significativement le montant de la sanction pécuniaire.

Le Conseil d’État a rappelé qu’il résulte des dispositions de l’article 45 de la loi informatique et libertés que la formation restreinte de la CNIL peut sanctionner un responsable de traitement, dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, sans mise en demeure préalable.

Partant, dès lors que la société Optical Center avait mis en place des mesures correctrices, le manquement aux obligations de sécurité constaté par la CNIL lors de son contrôle sur place n’était plus susceptible de faire l’objet d’une régularisation.

La CNIL pouvait donc légalement engager une procédure de sanction pécuniaire à l’encontre de la société Optical Center sans procéder à une quelconque mise en demeure préalable.

Le Conseil d’État a par ailleurs relevé que la mise en conformité du site n’a été réalisée par Optical Center qu’à la suite de l’intervention de la CNIL qui a porté à la connaissance de la société l’existence du défaut de sécurité. Le site internet de la société n’intégrait aucune fonctionnalité permettant de vérifier l’authentification des clients à leur espace personnel.

Le Conseil d’État a en outre souligné le fait que la société n’avait pris aucune précaution de sécurité en amont de la mise en production de son site internet.

Dans ces conditions, le Conseil d’État a confirmé la décision de la CNIL en indiquant que c’est un bon droit que la CNIL a caractérisé l’existence du manquement aux obligations de sécurité.

Concernant le montant de cette sanction, le Conseil d’État a rappelé les dispositions de l’article 47 de la loi informatique et libertés qui prévoient qu’une sanction pécuniaire doit être proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement.

Dès lors, lorsqu’elle constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il appartient à la CNIL pour prononcer une sanction, de tenir compte de la nature, de la gravité et de la durée de ces manquements mais également du comportement du responsable de traitement suite à ce constat.

Considérant que la CNIL a retenu une sanction pécuniaire d’un montant de 250 000 € sans tenir compte de la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la sanction infligée est disproportionnée.

C’est dans ce contexte que le Conseil d’État a décidé de réduire le montant de la sanction et de la ramener à un montant de 200 000 €.

A rapprocher : Articles 45 et 47 de la loi informatique et libertés

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…