webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Le Conseil d’Etat réduit la sanction de la CNIL à l’encontre d’Optical Center

CE, 10ème - 9ème ch. réunies, 17 avril 2019, Optical Center / Cnil

Le 17 avril 2019, le Conseil d’Etat a rendu une décision confirmant la sanction prononcée par la CNIL à l’encontre de la société Optical Center mais réduisant son montant en raison de son caractère disproportionné.



Une sanction pécuniaire prononcée par la CNIL doit notamment tenir compte du comportement du responsable de traitement suite au constat du manquement de ses obligations. En ne tenant pas compte de la célérité avec laquelle la société Optical Center a remédié aux manquements qui lui ont été reprochés, le Conseil d’Etat a considéré que la sanction infligée par la CNIL avait un caractère disproportionné et en a donc réduit le montant.

Suite à un signalement reçu par la Commission nationale de l’informatique et des libertés (CNIL) en juillet 2017, faisant état de données personnelles qui auraient été rendues librement accessibles sur le site Internet de la société Optical Center, la CNIL a diligenté une enquête.

Dans le cadre de cette enquête, la CNIL a réalisé une mission de contrôle en ligne du site internet de la société – au cours de laquelle elle a effectivement constaté que des données étaient librement accessibles sur le site internet – ainsi qu’une mission de contrôle sur place, au cours de laquelle la CNIL a constaté que l’accès aux données avait cessé.

Il résultait de l’instruction de la CNIL un manquement grave à son obligation de sécurité par Optical Center. A l’issue d’une procédure contradictoire, la CNIL a alors rendu une délibération le 7 mai 2018 par laquelle elle a prononcé à l’encontre de cette société une sanction pécuniaire d’un montant de 250 000 € et a décidé de rendre publique sa délibération pendant une durée de deux ans.

Pour prononcer sa sanction, la CNIL a notamment tenu compte des éléments suivants :

  • le manquement à l’obligation de sécurité relevait de l’absence de mesures élémentaires de sécurité et non complexes ;
  • l’ampleur du défaut de sécurité était importante car plus de 330 000 documents avaient été rendus accessibles, en ce compris des données sensibles telles que des données de santé et des numéros NIR ;
  • bien que la société avait fait preuve de réactivité et avait effectué des diligences nécessaires auprès de son prestataire pour remédier aux manquements, la CNIL avait néanmoins souligné le fait que ses services internes avaient pu accéder aux données des clients de la société lors de la mission de contrôle en ligne, ce qui caractérisait bien le manquement.

C’est dans ce contexte que par une requête en date du 25 juillet 2018, la société Optical Center a saisi le Conseil d’État aux fins d’annuler la délibération de la CNIL et, à titre subsidiaire, de réduire significativement le montant de la sanction pécuniaire.

Le Conseil d’État a rappelé qu’il résulte des dispositions de l’article 45 de la loi informatique et libertés que la formation restreinte de la CNIL peut sanctionner un responsable de traitement, dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, sans mise en demeure préalable.

Partant, dès lors que la société Optical Center avait mis en place des mesures correctrices, le manquement aux obligations de sécurité constaté par la CNIL lors de son contrôle sur place n’était plus susceptible de faire l’objet d’une régularisation.

La CNIL pouvait donc légalement engager une procédure de sanction pécuniaire à l’encontre de la société Optical Center sans procéder à une quelconque mise en demeure préalable.

Le Conseil d’État a par ailleurs relevé que la mise en conformité du site n’a été réalisée par Optical Center qu’à la suite de l’intervention de la CNIL qui a porté à la connaissance de la société l’existence du défaut de sécurité. Le site internet de la société n’intégrait aucune fonctionnalité permettant de vérifier l’authentification des clients à leur espace personnel.

Le Conseil d’État a en outre souligné le fait que la société n’avait pris aucune précaution de sécurité en amont de la mise en production de son site internet.

Dans ces conditions, le Conseil d’État a confirmé la décision de la CNIL en indiquant que c’est un bon droit que la CNIL a caractérisé l’existence du manquement aux obligations de sécurité.

Concernant le montant de cette sanction, le Conseil d’État a rappelé les dispositions de l’article 47 de la loi informatique et libertés qui prévoient qu’une sanction pécuniaire doit être proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement.

Dès lors, lorsqu’elle constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il appartient à la CNIL pour prononcer une sanction, de tenir compte de la nature, de la gravité et de la durée de ces manquements mais également du comportement du responsable de traitement suite à ce constat.

Considérant que la CNIL a retenu une sanction pécuniaire d’un montant de 250 000 € sans tenir compte de la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la sanction infligée est disproportionnée.

C’est dans ce contexte que le Conseil d’État a décidé de réduire le montant de la sanction et de la ramener à un montant de 200 000 €.

A rapprocher : Articles 45 et 47 de la loi informatique et libertés

VOIR AUSSI

La reconnaissance faciale : un enjeu de société pour le citoyen européen

Commission Européenne, 19 février 2020, Livre blanc consacrée à l’intelligence artificielle

- Vu : 1092

La CNIL s’est emparée du sujet considérant le 15 novembre 2019 que la reconnaissance faciale est de plus en plus présente dans le débat public aux niveaux national, européen et mondial. Cette technologie soulève des questions inédites touchant à des choix de société. La Commission Européenne l’a bien compris en publiant son livre blanc consacré à l’intelligence artificielle le 19 février 2020 dans lequel elle considère que cette technologie représente un usage à risque pour nos droits fondamentaux et qu’il est désormais temps de statuer sur une réglementation protectrice de la vie privée du citoyen dans le prolongement du RGPD.

> Lire la suite

Le cybercommerçant qui intègre un bouton « j’aime » de Facebook sur son site internet est un responsable conjoint de traitement

CJUE, 2ème ch., 29 juillet 2019, Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV, Facebook Ireland Ltd et autre

- Vu : 1044

Intégrer un bouton « j’aime » du réseau social Facebook sur son site internet entraîne la qualification de responsable conjoint de traitement de l’administrateur du site internet aux côtés de Facebook.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 6232
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 5464
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 4546
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 3421
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©